Kryptowire 是一家與美國 Home Land Security ( HLS )合作的資安公司。提供自動測試安全漏洞的軟體,可以針對手機、 IoT 等行動通訊設備的韌體與 APP 做自動化分析檢測。2019 年 11 月發表一篇測試報告,顯示多款 Android 手機都有資安漏洞,大部分 Android 手機都被測到可以透過 Local APP 入侵,報告中 Samsung 和 Evercross 沒有測到這問題,但這兩家都被測到可經由 System 或 Signature APP 入侵。 CVE ( Common Vulnerabilities and Exposures,共通弱點與可利用點) 數量由最多表列( 包含 Local APP 漏洞與 System 或 Signature APP 漏洞 )前 5 名分別是
Samsung( 三星 )、Asus ( 華碩 )、Xiaomi (小米)、Lava、Tecno。
前 5 大資安弱點類型分別是
System Properties Modification ( 系統性能修改 )、APP Installation ( APP 安裝 )、Command Execution ( 命令執行 ) 、Wireless Settings Modification ( 無限設定修改 )、Audio Recording ( 錄音 )。
這份報告的 CVE 詳情列表,前幾頁台灣廠商 ASUS ( 華碩 ) 和 Mediatek ( 聯發科 ) 頻繁出現, ASUS 是 A 開頭,且其 CVE 數量在行動設備廠商中排名第二多,僅次於 Samsung,前幾頁頻繁出現是意料中事,聯發科因為提供許多手機廠內部套件,其韌體或 Image 有多個被測到有資安弱點。 希望這份報告能引起相關廠商注意,從源頭幫使用者做更多資訊安全的防範。
雖然手機有資安漏洞不是新聞,但行動支付越來越普遍,許多人因為大家都在用,久了就輕忽有可能的資安問題。 不過想想,手機連結個人金流,且許多重要資訊入口都採用二階認證,手機是重要的二階認證窗口,如果手機在短期內仍難以保證沒有資安漏洞,使用手機的你就得負起自我保護的責任。
以下影片提供一些如何保護行動資訊安全的提示 :
首先,如果你發現你的手機有以下狀況,就要小心你的手機可能被駭了,需要帶去可靠的商家幫你檢查。
- 電池壽命突然比以前都短 ( 不包含最近 iOS 升級 13. 2 耗電增加的狀況 )
- 會無緣無故的自己關掉又重新開機,APP 突然關掉或打開,有時會自己打電話出去
- 手機沒開什麼 APP 卻摸起來熱熱的, 這有可能背後執行著什麼程式
- 不正常地多次收到一些未知號碼的來電
- 感覺不能控制自己的手機,關也關不掉,或聲音不能控制,不能打開照明,照相機等等
- 講電話時有回音或聽到一些噪音,跟以前不一樣
要如何避免被駭客入侵呢 ?
- 訊息內不認識的 http 都不要點
- 用 USB 接線充電時,請直接接電源,不要連線他人的電腦
- 不用公共 WIFI
- 不在公共網路做購買登入等動作,也不要按“記住密碼( Remember Password ) 的選項,除非你在安全的網路內
- 投資防駭客軟體
還有一點,不下載不清楚的 APP,有 6 款 Android APP 被強烈建議移除,如果你的手機剛好有這些。
- Good Weather
- Draw Something Free
- Clean Master
- My Talking Tom
- WIFI APPs
- Flashlight APPs
更多應該移除的 Android APP 請參考 Android users should delete these 15 Google Play Store apps right now
在網路的世界裡,資訊安全永遠都會是個課題。 不要理所當然地以為一切都會在最好的狀況下運行。 多一分防範將可避免黑天鵝事件。
Image by Biljana Jovanovic from Pixabay
也許你會有興趣
- 資訊安全相關線上課程
- 歡迎參加線上課程同學會
- ★英語學習地圖 – 練好英文是最大的學習槓桿
- 如何找工作學習地圖 – 找工作不要靠運氣!
- 追蹤這個 Twitter ,得到 Soft & Share 特價課程訊息