「透視鏡」App看手機保安的最大漏洞

20120818A   20120818B

上個月,蘋果App Store有一個名叫「透視鏡」的手機App,聲稱可利用紅外線功能,使手機鏡頭變成一個透視鏡:用家只要下載程式,對著美女拍照,便能看到穿著衣服的美女變得近乎祼體!程式迅速被大量下載,曾令其升上最受歡迎App的第3位!

20120818B真的有如此神奇的App嗎?這個App上架後約一個星期,終被揭發只是一個惡作劇程式,iPhone和iPad的手機鏡頭,根本沒有紅外線透視功能。這件事反映了,大部份手機用家,只要覺得程式有趣,便不假思索下載來玩,完全沒有手機保安的概念。試想想,如果這個惡作劇App,內置的是木馬程式,後果真的不堪設想。

最令用家害怕的手機保安問題,主要分兩方面:一是引致金錢損失的,如App Store帳戶被盜用、手機被操控於濫發跨國SMS等;二是被窺探個人私隱的,如個人電郵、Whatsapp訊息被截看等。這兩方面,都與手機病毒和木馬程式有關。

很多朋友都問我,難道手機設計者並沒有把防護惡意程式的機制,加進手機之中?其實是有的:手機的第一重防護,就在操作系統(即iOS、Android等)之內。

相信使用iPhone的朋友,都聽過「越獄」(JailBreak);Android的用家,都聽過「root」。簡單來說,「越獄」或「root」就是把手機的「管理員」帳號(Administrator)破解,用家便可使用原本被禁用的功能,如「免費安裝」付費Apps等。

很多朋友都認為,「越獄」或「root」既然可以「免費安裝」付費Apps,不是對用家絕對有利嗎?其實這為用家帶來很大的風險:「管理員」帳號被破解,情況就像大學時宿合管理員的房間被「破解」,其百合匙可以被任何同學拿到手一樣,原本每位同學(手機用家)只能進入自己的房間(自己的手機),現在卻變成在任何房間也可以進出自如。跟你要好的同學,可能留下一些好東西給你(「免費安裝」付費Apps),但這也意味著,任何立心不良的同學,也可進入你房間,偷看所有東西(如竊看SMS、Whatsapp訊息等)和偷竊(如盜取手機地址簿),甚至在你的電腦裡,安裝木馬程式,進行控制和破壞。事實上,坊間仍存在能遙控任何已「越獄」iPhone的程式。

不「越獄」或「root」又是否絕對安全?盜用百合匙不管用,還可以「行騙」:把加入病毒或木馬的Apps,偽裝成著名或受歡迎的程式,例如山寨的AngryBirds、Instagram等,或包裝成免費的電影、成人照片或影片Apps。由於蘋果公司的審核過程比較嚴緊,又不容許賣弄成人內容的Apps上架,所以這種情況比較少見(雖然最近還是給「透視鏡」過了關)。但審查機制近乎零的Android手機Apps市場,情況就嚴重得多。

如果我既不「越獄」,又只下載信譽好的公司所出產的Apps,保安應該很足夠吧?還有最後的一環:你所使用的Apps,有把要傳送的訊息,先加密嗎?其實不少流行的聊天軟件,如WhatsApp和LINE,由於訊息並沒有被加密處理,在WiFi的環境下,只要用一個sniffer程式,就可以把所有人收發的Whatsapp或LINE訊息竊看一番。可是,又有多少人會先了解想下載的Apps,在手機保安方面,是否做得足夠,才去下載使用呢?

所以說,智能手機的最大保安漏洞,既不是「越獄」、也不是「行騙」、更不是沒有加密:而是用家本身。

如果手機用家不能提高安全意識,就算再厲害的防毒和防木馬程式、手機加密及保安措施做得更好,亦是枉然。用家除了緊記不要「越獄」,更應切記:不要貪圖方便和免費,而輕易下載來歷不明的Apps;安裝新程式時,亦需核實開發者的可信度,清楚程式會否不合常理地,去存取你的個人資料(如雜誌App要求讀取你的SMS訊息內容等);亦要緊記充份使用手機內置的防護機制。

現在的手機已經跟桌面電腦無異。基本上,發生在桌面電腦的保安問題,百份之九十也可在手機上出現。如果不想你的手機裡的資料被盜、被竊看、被操控,用家便應認真地看待手機保安問題,猶如處理自己家中保安一樣。只有這樣,配合手機不斷進步的保安措施,才能真正確保手機裡資料的安全,萬無一失。

 

Leave a Reply

Your email address will not be published. Required fields are marked *