Android語音系統有漏洞　Set密碼都冇符？

[youtube]lmzu-tZD2SA[/youtube]

【本報訊】中大工程學院研究發現，Android手機內置語音助手系統存在漏洞，只要暗中在手機安裝惡意程式，透過揚聲器直接對手機發出語音指令，繞過現有保護機制讓手機「自言自語」，輕易操控手機發短訊、打電話甚至查詢手機儲存的個人資料。
記者：馬志剛

中大工程學院信息工程系助理教授張克環的研究團隊，首次發現Android語音助手系統的保安漏洞，他們設計出「VoicEmployer」惡意程式，可操控仍然受密碼保護的手機。程式在啟動Google語音搜索後，經揚聲器播放惡意語音指令，讓手機自問自答，控制手機執行各種指示，例如致電指定號碼，或以用戶身份發短訊、發電郵，更可查詢儲存在手機的留言、日程紀錄、當前位置等，掌握用戶行蹤。
張克環補充，Android接受用已配對的藍芽咪發出語音指令，可繞過解鎖手機的程序，但蘋果iPhone的iOS仍未測試，所以不能確定iOS是否更安全。
研究團隊發現此漏洞後，已將漏洞向Google安全團隊通報，並提供更新建議，有關程式已修復部份問題。張克環建議智能手機用戶避免安裝來歷不明的程式，也不宜瀏覽不明網頁，以免黑客借機植入惡意程式。

[img]http://static.apple.nextmedia.com/images/apple-photos/apple/20150710/large/10la7p1.jpg[/img]
■信息工程系助理教授張克環（左）團隊發現Android手機的漏洞；旁為副教授劉永昌。

社交網站OAuth易入侵
信息工程系副教授劉永昌的團隊，則發現社交網站的認證系統存在保安漏洞。現時不少社交網站都採用「開放授權認證系統2.0」（OAuth），允許第三方應用程式在用戶的社交網頁存取部份個人資料，以便身份確認毋須再註冊。
由於OAuth存在多種授權方式，不少社交平台未有劃一系統。劉教授的團隊開發自動檢測軟件，發現黑客只須簡單改寫編碼，即可取得第三方應用程式的授權憑證，並冒認成該應用程式，向用戶發佈虛假信息，甚至獲取數以億計用戶的私隱資料。他們研究的12個社交網站當中，8個存在有關漏洞。
團隊已主動通知社交網絡服務供應商，並提供建議加強對用戶私隱的保障，及聯同Android語音助手漏洞，在去年的網絡安全學術會議及國際黑客大會發表研究結果，獲外國學術界、業界及傳媒關注。

[img]http://static.apple.nextmedia.com/images/apple-photos/apple/20150710/large/a1201a.gif[/img]

來源:[url]http://hk.apple.nextmedia.com/news/art/20150710/19214923?_ga=1.86379032.1446747252.1407231573[/url]