Android版WhatsApp漏洞 洩通話紀錄

文匯報

荷蘭網絡安全顧問博謝切爾警告，通訊軟件WhatsApp的Android版本存在保安漏洞，能容許其他Android應用程式(app)未經用戶同意下，讀取手機SD卡儲存的WhatsApp通話紀錄，並上載至第三方伺服器。

博謝切爾指出，Android作業系統規定用戶安裝新App時，必須選擇是否允許讀取SD卡資料。由於WhatsApp的通話紀錄會儲存於SD卡內，其他App一經用戶允許，就能隨時讀取和使用卡內的儲存資料。 

更新版加密功能無用 

博謝切爾又指，WhatsApp本身安全規格寬鬆，舊版甚至不會為通訊紀錄加密。即使後期推出的更新版本配備加密功能，仍無法阻止WhatsApp Xtract等第三方程式讀取加密資料。 

要保障個人私隱，博謝切爾建議一旦發現不明來歷的App要求讀取SD卡，用戶授權前應倍加審慎。 WhatsApp發言人反駁報道誇大失實，強調SD卡在一般情況下不會被讀取。若用戶手機曾下載惡意程式或中毒，則可能存在風險。公司建議用戶定期更新軟 件，堵塞安全漏洞。 

■《衛報》

美假扮fb竊私隱 數百萬電腦中招

文匯報

美國中情局前僱員斯諾登公開的密件披露，國家安全局(NSA)進行名為「量子之手」 (QUANTUMHAND)的計劃，利用假冒的社交網站facebook網頁，向全球數百萬台電腦安裝惡意軟件，除了能竊取「中招」電腦的硬碟數據外，更 可利用電腦咪高峰錄下周邊人士對話，以及控制網絡鏡頭拍攝，嚴重侵犯民眾私隱。

英國《衛報》前記者格林沃爾德日前在其創辦的新聞網站「The Intercept」公開密件，揭露國安局在2004年研發出「量子之手」惡意軟件，之後用它假冒fb伺服器，欺騙用戶下載惡意軟件源碼。一旦用戶安裝了惡意軟件，國安局便可完全控制目標電腦。 

竊電郵密碼 英國有份 

報道引述密件指出，國安局發出含有惡意軟件的電郵，在目標電腦安裝多個插件，其中名為 CAPTIVATEDAUDIENCE的插件可控制電腦咪高峰，錄下周邊人的對話；GUMFISH能暗中操控電腦鏡頭拍攝；FOGGYBOTTOM則可記 錄用戶瀏覽互聯網歷史，收集登入網站和電郵帳戶的資料與密碼。

報道稱，這項入侵行動由國安局馬里蘭州總部，以及在英國和日本的竊聽基地操作，英國情報機關「政府通 訊總部」明顯有參與計劃。計劃起初針對100至150台以傳統方式難以監控的電腦作測試，到2010年擴大至全球數百萬台電腦。據報國安局招攬一批黑客及 研發新的惡意軟件工具，並使用名為「渦輪」(TURBINE)的自動系統，毋需大量人手操作，便能大規模入侵甚至摧毀電腦。

芬蘭保安公司F-Secure首席研究員希伯能形容報道令人困擾，警告國安局的監控技術損害互聯網安全，「當你在電腦系統安裝惡意軟件，它將在系統內製造保安弱點，更易被第三方入侵」。 

■《每日郵報》/The Intercept網站

港大電腦系統被黑客入侵

文匯報

香港文匯報訊（記者　歐陽文倩）

網路世界黑客橫行，連大學亦難逃一劫。香港大學昨日表示，該校科技服務處人員 於2月27日及28日的例行檢查時，發現電腦系統出現異常活動，經進一步檢查，懷疑有40個個人網頁戶口和146個電郵戶口被木馬程式進入，收集用戶名稱和密碼，該校已向警方及私隱專員公署報告有關情況。

港大發言人表示，資訊科技服務處職員發現事件後，已立刻凍結有關戶口，即時清除已植入的問題程式和檔 案，並通知受影響的教職員和學生更改戶口密碼，暫時未有人向該校反映有其他問題。該校強調，由發現異常情況至今，資訊科技服務處一直密切監察系統，加強防 範，該校未來亦會繼續因應資訊科技發展，密切監察及加強電腦保安工作。