智慧型手機蔚為風潮,相關安全議題也持續升溫,無論是iPhone或Android手機都有相同趨勢,那就是攻擊手法變化速度愈來愈快且更具針對性,駭客設計手機專用釣魚網頁,或利用韌體本身存在著的漏洞,從中尋找竊取使用者資訊或詐騙錢財的機會。
9月底,趨勢科技在部落格上指出,發現一個位於俄羅斯的釣魚網站(如下圖),其與行動裝置專用瀏覽器Opera官方網站非常相似,可說是專門設計給手機瀏覽的惡意網站。該網站上所有連結都只有一個目標,就是引導使用者下載OperaMini.jar,也就是惡意程式J2ME_FAKEBROWS.A,它會檢查手機使用了哪些服務,並發送簡訊給收費較高的號碼。
圖1、Oopera釣魚網站(圖片來源:擷取自趨勢科技網站)
另外,專門研究Android作業系統的團隊Android Police,也於10月初指出HTC軟體介面Sense存在著嚴重安全漏洞,影響範圍以採用HTC Sense UI的機種為主,包括Thunderbolt、EVO 3D、EVO 4G、EVO Shift 4G、Sensation系列等。
根據Android Police報導(註1),手機上任何一個應用程式,只要呼叫用來連網或呈現廣告的指令:android.permission.INTERNET,就可以取得手機上所記錄的訊息,像是使用者帳戶清單(包括電子郵件帳戶及同步狀態)、所在位置(GPS)、通話記錄中所記載的電話號碼、簡訊(包含受話號碼與內容)、系統Log。
由於android.permission.INTERNET透過根目錄下的HTCLoggers.apk搜集使用者資訊,如果已經完成手機root(越獄)的使用者,只要直接移除位在根目錄下的HTCLoggers.apk指令,就可以避免資訊外洩的風險。
HTC之後發表聲明指出,Sense本身不會損害客戶資料,只是其中的弱點被第三方惡意程式所利用,HTC將儘快釋出安全更新來解決這個問題,HTC強烈建議,使用者若在這段期間下載、使用、安裝及更新不明來源的APP時,必須更加小心謹慎。
註1:相關文章刊載於《Massive Security Vulnerability In HTC Android Devices(EVO 3D, 4G, Thunderbolt, Others) Exposes Phone Numbers GPS, SMS, Emails, Addresses, Much More》