香港人爱用Android手机,在安装Apps时会被要求授予权限,手机分分钟变成监控工具。
一项调查显示,全球310多万个Android手机应用程式(Apps),有四分一(24%)属恶意或私隐高风险的程式。 香港《苹果日报》抽查也发现,港人使用的热门Apps读取用户私隐资料的情况严重,四分一可读取用户的通讯录、五分一可读取通话纪录。 记者:卢劲业梁御和
网络保安公司「趋势科技」调查了全球310多万个Android Apps,该公司资讯安全研究副总裁Rik Ferguson访港时向《苹果》表示,当中有15%含有恶意程式,即含有病毒、更改手机系统造成破坏或造成用户金钱上损失的程式;另有9%则为泄露用户私隐的高风险程式,因Apps一方面读取用户的私隐资料,另一方面却无加密,等于任人看。 私隐专员公署早前进行的调查,只涵盖香港Apps(Android和iOS Apps各30个)。从Google Play Store抽查本港50个最热门Android免费Apps(当中三成为香港Apps),发现Apps拿取用户私隐的情况严重:使用镜头或录音功能(38%)、读取手机通讯录(26%)、读取通话记录(20%)的比率,都比私隐署的调查结果高最少一倍。
可利用录音功能窃听
在用户的八类私隐资料中,有三个Apps取得七类,全为社交Apps(Viber、facebook手机即时通、WeChat)。 以权限数目计,也以社交Apps索取最多,达30至45个;三分二Apps只索取3至19个权限。 如用户拒绝授予权限,便不能安装有关Apps。再从首100个热门Apps中,抽查11个社交Apps,发现只有四个索取「读取SMS」权限,当中由内地开发的WeChat、微博,更是功能上用不着此权限。
早前美国政府向电话公司收集用户的通话纪录,成为国际新闻。 其实八成社交Apps(包括全部三个内地Apps)都有读取用户的通话纪录,且多是功能上毋须的。 Rik Ferguson对Facebook App索取此权限感惊讶,因两者根本用不着此功能。 抽查中的所有Apps,都有索取「完整互联网存取」权限。 Rik指,这权限等于容许Apps存取你手机媒体库上的相片及影片,「如果开发者有恶意,它可以直接将你的相片上载到他的伺服器上」。 Rik又为《苹果》示范,利用一个简单的App,获几个授权,就可利用手机的镜头或录音功能,在用户毫不察觉的情况下,进行窃听(或偷拍)等监控,根本毋须安装间谍程式,问题只是开发商会否这样做。
Android apps开发商:「想做什么都行」
香港专业教育学院(沙田)电子及资讯工程系主任赵炳权也表示,Apps的权限,一经授予,开发商「想做什么都行」,也不受当初说明的用途所限,「有的软件乱来概括,你一授权给它(如通讯录),它就拿你的资料卖给别人㗎」。
香港政府私隐署表示,该署只能规管本地的资料使用者,但如有市民投诉外地App,该署也会按既定程序处理。
安装Apps安全贴士
1.只从可靠的官方程式库,如Google Play Store下载Apps。
2.下载前,留意程式要求的权限,是否和用途相符,如听歌程式理论上毋须读取SMS或自动拨打电话。留意开发商是否具声誉和可靠,对不知名开发商多加留意,有怀疑就不要下载。
3.Apps被下载数量越大,理论上较安全;同时留意App Store的评分和评语
4.查看开发者网站,网站规模通常是开发者的可靠指标之一。
5.更新程式时,须留意权限有否更改。
有牌黑客示范用App窃听
在欧洲多个资讯安全组织担任要职、拥有「道德黑客认证」(有牌黑客)的Rik Ferguson,来港出席资讯保安会议期间,为《苹果》示范简单的App,如何进行窃听和读取用户短讯。
1)Rik预备简单的恶意App,在一部Android系统的目标手机安装。
2)Rik使用自己的手机(左),向目标手机(右)用SMS发出「This is your master!(这是你的主人)」指令;目标手机自动传回SMS「I am ready to serve you(我已准备好为你服务)」;Rik再以SMS发出监控指示,包括录音一分钟。
3)目标手机无声无息地开始录音一分钟,然后档案上载至暂存空间SendSpace(图),并将连结用SMS传给Rik的手机,惟屏幕显示毫无动静。
4)Rik在电脑打开连结,收听窃取的声音,并观看截获的短讯。 他指只需四个权限:完整的互联网存取权、使用录音功能、接收SMS、发送SMS,就可做到。
政界人士反应
陈淑庄(香港公民 党前立法会议员): 我装App之前都会特别留意要啲乜嘢权限,如果会存取联络人资讯、同地点位置慨App,就会加倍小心。
范国威(新民主同盟立法会议员): Server(伺服器)喺大陆慨App,通讯内容有机会俾人睇到,我好少用。 斯诺登事件反映科技监控易如反掌。
莫乃光(立法会资讯科技界议员): 我自己只用主流慨应用程式。 香港议员对科技安全认知普遍唔够,试过搞电脑安全讲座,个个议员都唔嚟!
一项调查显示,全球310多万个Android手机应用程式(Apps),有四分一(24%)属恶意或私隐高风险的程式。 香港《苹果日报》抽查也发现,港人使用的热门Apps读取用户私隐资料的情况严重,四分一可读取用户的通讯录、五分一可读取通话纪录。 记者:卢劲业梁御和
网络保安公司「趋势科技」调查了全球310多万个Android Apps,该公司资讯安全研究副总裁Rik Ferguson访港时向《苹果》表示,当中有15%含有恶意程式,即含有病毒、更改手机系统造成破坏或造成用户金钱上损失的程式;另有9%则为泄露用户私隐的高风险程式,因Apps一方面读取用户的私隐资料,另一方面却无加密,等于任人看。 私隐专员公署早前进行的调查,只涵盖香港Apps(Android和iOS Apps各30个)。从Google Play Store抽查本港50个最热门Android免费Apps(当中三成为香港Apps),发现Apps拿取用户私隐的情况严重:使用镜头或录音功能(38%)、读取手机通讯录(26%)、读取通话记录(20%)的比率,都比私隐署的调查结果高最少一倍。
可利用录音功能窃听
在用户的八类私隐资料中,有三个Apps取得七类,全为社交Apps(Viber、facebook手机即时通、WeChat)。 以权限数目计,也以社交Apps索取最多,达30至45个;三分二Apps只索取3至19个权限。 如用户拒绝授予权限,便不能安装有关Apps。再从首100个热门Apps中,抽查11个社交Apps,发现只有四个索取「读取SMS」权限,当中由内地开发的WeChat、微博,更是功能上用不着此权限。
早前美国政府向电话公司收集用户的通话纪录,成为国际新闻。 其实八成社交Apps(包括全部三个内地Apps)都有读取用户的通话纪录,且多是功能上毋须的。 Rik Ferguson对Facebook App索取此权限感惊讶,因两者根本用不着此功能。 抽查中的所有Apps,都有索取「完整互联网存取」权限。 Rik指,这权限等于容许Apps存取你手机媒体库上的相片及影片,「如果开发者有恶意,它可以直接将你的相片上载到他的伺服器上」。 Rik又为《苹果》示范,利用一个简单的App,获几个授权,就可利用手机的镜头或录音功能,在用户毫不察觉的情况下,进行窃听(或偷拍)等监控,根本毋须安装间谍程式,问题只是开发商会否这样做。
Android apps开发商:「想做什么都行」
香港专业教育学院(沙田)电子及资讯工程系主任赵炳权也表示,Apps的权限,一经授予,开发商「想做什么都行」,也不受当初说明的用途所限,「有的软件乱来概括,你一授权给它(如通讯录),它就拿你的资料卖给别人㗎」。
香港政府私隐署表示,该署只能规管本地的资料使用者,但如有市民投诉外地App,该署也会按既定程序处理。
安装Apps安全贴士
1.只从可靠的官方程式库,如Google Play Store下载Apps。
2.下载前,留意程式要求的权限,是否和用途相符,如听歌程式理论上毋须读取SMS或自动拨打电话。留意开发商是否具声誉和可靠,对不知名开发商多加留意,有怀疑就不要下载。
3.Apps被下载数量越大,理论上较安全;同时留意App Store的评分和评语
4.查看开发者网站,网站规模通常是开发者的可靠指标之一。
5.更新程式时,须留意权限有否更改。
有牌黑客示范用App窃听
在欧洲多个资讯安全组织担任要职、拥有「道德黑客认证」(有牌黑客)的Rik Ferguson,来港出席资讯保安会议期间,为《苹果》示范简单的App,如何进行窃听和读取用户短讯。
1)Rik预备简单的恶意App,在一部Android系统的目标手机安装。
2)Rik使用自己的手机(左),向目标手机(右)用SMS发出「This is your master!(这是你的主人)」指令;目标手机自动传回SMS「I am ready to serve you(我已准备好为你服务)」;Rik再以SMS发出监控指示,包括录音一分钟。
3)目标手机无声无息地开始录音一分钟,然后档案上载至暂存空间SendSpace(图),并将连结用SMS传给Rik的手机,惟屏幕显示毫无动静。
4)Rik在电脑打开连结,收听窃取的声音,并观看截获的短讯。 他指只需四个权限:完整的互联网存取权、使用录音功能、接收SMS、发送SMS,就可做到。
政界人士反应
陈淑庄(香港公民 党前立法会议员): 我装App之前都会特别留意要啲乜嘢权限,如果会存取联络人资讯、同地点位置慨App,就会加倍小心。
范国威(新民主同盟立法会议员): Server(伺服器)喺大陆慨App,通讯内容有机会俾人睇到,我好少用。 斯诺登事件反映科技监控易如反掌。
莫乃光(立法会资讯科技界议员): 我自己只用主流慨应用程式。 香港议员对科技安全认知普遍唔够,试过搞电脑安全讲座,个个议员都唔嚟!
