別人手機沒電時,您試過讓他以 USB 接駁你的電腦充電嗎?
你知道這有甚麼安全隱憂嗎?
很多香港人很喜歡到一些中文討論區或下載網站,來下載「免費」或「破解」智機手機或平板電腦軟件。芬蘭保安軟件公司 F-Secure 一直留意這類中文討論區及下載網站上的 App 是否安全,亦有一些特別的發現。
我們最近在一個中文下載網站找到一個名叫「USB Cleaver」的 Android App。這個App 的特別之處,是能夠在安裝後,透過 USB 連接電腦,拿取儲存於電腦內的重要密碼,包括瀏覽器儲存的社交網絡、電郵等帳戶和網站登入密碼,甚至是 Wi-Fi 密碼。這個程式的使用步驟如下:
1. 安裝後,Android 介面會看到USB Cleaver 的圖示,打開後程式會引領用戶下載另一個約 3MB 的檔案
2. Android 用戶可以 USB 接駁電腦,再選擇要拿取的資料和密碼
這個程式我們定義為「Hack Tool」破解工具,意思是這個程式的原意便是拿取資料,而非「病毒」。可是,這個程式引來的啟示很有意思 - 現時 Android 用戶透過 USB 接駁其他人的電腦充電十分普遍,試想想你朋友的 Android 手機安裝了「USB Cleaver」, 然後接駁你電腦,其實他是能夠不知不覺拿取你的密碼資料,這是一個很值得小心的事。
另外,一些惡意軟件開發商,未來也可能會使用類似方法,把拿取電腦檔案的編碼植入其他 Android Apps,並自動上載這些偷取的檔案到網上。
F-Secure 大中華區總監李力恆表示:「在香港,Android 智能手機相當普及,香港人的使用量也很高,經常要充電是十分平常的事。但用戶必須有一些安全意識,就是當別人以 USB 接駁你的電腦來充電時,其實這些人現在已經可以輕易偷取你的資料和密碼。」
要防止自己電腦被其他裝置偷取資料,李力恆亦謂:「我們建議用戶關閉 Windows 的 Autorun 功能。因為 USB Cleaver 這類軟件是透過 Autorun 功能,在接駁至電腦後自動執行一些 Windows 程式檔。另外,當有任何不是屬於你的裝置接駁至你的電腦時,記緊看清楚電腦有沒有異様,例如裝置是否要求執行一些程式等等。」
沒有留言:
張貼留言