2014年3月15日 星期六

Android版WhatsApp漏洞 洩通話紀錄

文匯報

荷蘭網絡安全顧問博謝切爾警告,通訊軟件WhatsApp的Android版本存在保安漏洞,能容許其他Android應用程式(app)未經用戶同意下,讀取手機SD卡儲存的WhatsApp通話紀錄,並上載至第三方伺服器。
博謝切爾指出,Android作業系統規定用戶安裝新App時,必須選擇是否允許讀取SD卡資料。由於WhatsApp的通話紀錄會儲存於SD卡內,其他App一經用戶允許,就能隨時讀取和使用卡內的儲存資料。 

更新版加密功能無用 

博謝切爾又指,WhatsApp本身安全規格寬鬆,舊版甚至不會為通訊紀錄加密。即使後期推出的更新版本配備加密功能,仍無法阻止WhatsApp Xtract等第三方程式讀取加密資料。 

要保障個人私隱,博謝切爾建議一旦發現不明來歷的App要求讀取SD卡,用戶授權前應倍加審慎。 WhatsApp發言人反駁報道誇大失實,強調SD卡在一般情況下不會被讀取。若用戶手機曾下載惡意程式或中毒,則可能存在風險。公司建議用戶定期更新軟 件,堵塞安全漏洞。 

■《衛報》

美假扮fb竊私隱 數百萬電腦中招

文匯報

美國中情局前僱員斯諾登公開的密件披露,國家安全局(NSA)進行名為「量子之手」 (QUANTUMHAND)的計劃,利用假冒的社交網站facebook網頁,向全球數百萬台電腦安裝惡意軟件,除了能竊取「中招」電腦的硬碟數據外,更 可利用電腦咪高峰錄下周邊人士對話,以及控制網絡鏡頭拍攝,嚴重侵犯民眾私隱。
英國《衛報》前記者格林沃爾德日前在其創辦的新聞網站「The Intercept」公開密件,揭露國安局在2004年研發出「量子之手」惡意軟件,之後用它假冒fb伺服器,欺騙用戶下載惡意軟件源碼。一旦用戶安裝了惡意軟件,國安局便可完全控制目標電腦。 

竊電郵密碼 英國有份 

報道引述密件指出,國安局發出含有惡意軟件的電郵,在目標電腦安裝多個插件,其中名為 CAPTIVATEDAUDIENCE的插件可控制電腦咪高峰,錄下周邊人的對話;GUMFISH能暗中操控電腦鏡頭拍攝;FOGGYBOTTOM則可記 錄用戶瀏覽互聯網歷史,收集登入網站和電郵帳戶的資料與密碼。
報道稱,這項入侵行動由國安局馬里蘭州總部,以及在英國和日本的竊聽基地操作,英國情報機關「政府通 訊總部」明顯有參與計劃。計劃起初針對100至150台以傳統方式難以監控的電腦作測試,到2010年擴大至全球數百萬台電腦。據報國安局招攬一批黑客及 研發新的惡意軟件工具,並使用名為「渦輪」(TURBINE)的自動系統,毋需大量人手操作,便能大規模入侵甚至摧毀電腦。
芬蘭保安公司F-Secure首席研究員希伯能形容報道令人困擾,警告國安局的監控技術損害互聯網安全,「當你在電腦系統安裝惡意軟件,它將在系統內製造保安弱點,更易被第三方入侵」。 

■《每日郵報》/The Intercept網站

2014年3月1日 星期六

港大電腦系統被黑客入侵

文匯報

香港文匯報訊(記者 歐陽文倩)

網路世界黑客橫行,連大學亦難逃一劫。香港大學昨日表示,該校科技服務處人員 於2月27日及28日的例行檢查時,發現電腦系統出現異常活動,經進一步檢查,懷疑有40個個人網頁戶口和146個電郵戶口被木馬程式進入,收集用戶名稱和密碼,該校已向警方及私隱專員公署報告有關情況。
港大發言人表示,資訊科技服務處職員發現事件後,已立刻凍結有關戶口,即時清除已植入的問題程式和檔 案,並通知受影響的教職員和學生更改戶口密碼,暫時未有人向該校反映有其他問題。該校強調,由發現異常情況至今,資訊科技服務處一直密切監察系統,加強防 範,該校未來亦會繼續因應資訊科技發展,密切監察及加強電腦保安工作。