原文网址: http://ppt.cc/1~-4
3款手机个资外泄 需速更新软件
【台湾醒报记者赖义中、林俊易台北报导】3款手机的内建应用程式有缺陷,恐导致
个资外泄。行政院消保处7日说,包括HTC New One、Samsung Note 3或Sony Xperia Z
智慧型手机,出现程式问题,业者虽已全数改善,但未更新软件的原厂新机仍不安全,
建议消费者尽速更新并下载防毒软件,以防护个资。
消保处去年10月与资策会合作,检测安卓系统市占率排行榜前3名的旗舰型手机,12月底
检测完成并与厂商展开协调,至6月底陆续完成改善工作。处长刘清芳解释,在厂商改善
后才公告较符合国际惯例,否则形同昭告骇客还有哪些漏洞可钻。
【明文储存容易泄资】 资策会资深工程师洪光钧说明,此次系参照民间常用的“行动装
置10大资安漏洞”进行检测,发现HTC、Samsung和Sony等3款手机,各有4项、3项及6项
资安缺失。
3款手机共通的缺失为,内建的笔记本应用程式以明文方式储存资料,加上储存目录权限
设置不当,恐有资料外泄疑虑;此外,HTC New One的Wi-Fi热点密码以明文方式储存,
恐遭窃取;Samsung Note 3以SSL加密连线时,不会验证凭证;Sony Xperia Z部分应用
程式以明文记录密码,登入时恐遭窃取。
洪光钧指出,骇客必须先让目标手机感染恶意程式,才能窃取其中资料,如点击LINE上
来路不明的讯息或邮件地址,就是最常见的管道;若遭感染,骇客即可透过恶意程式,
取得手机内未加密登录(即明文)的密码或笔记本内资讯。另一常见的方式,则是架设
未加密的无线热点,一旦有人点击连线,可能就会连线至骇客设计的钓鱼和恶意网站。
【注意更新厂商版本】 记者向厂商查证回应。HTC表示,已解决上述资安疑虑,未来将
持续与有关单位密切合作;Samsung表示,已在消保处提出前掌握疑虑,并给予消费者
提醒,检测后亦确认更新版本中无任何威胁;Sony方面则未取得回应。
至于手机资安问题应如何防范?消保官王德明呼吁,消费者应随时更新为厂商释出的
最新版本;避免从谷歌或苹果商店以外的平台下载应用程式;不点选来路不明的无线
AP来源;未使用时,应关闭蓝芽、无线或GPS功能;以及安装手机专用的防毒软件。