还记得去年中,苹果(Apple)的iOS系统爆发大漏洞,一封夹杂阿拉伯字、中文字,并以 Unicode 编码写成的奇怪简讯,就可以让收到简讯的 iPhone 当机!现在,又有恶意程序透过简讯散布病毒,不过这次瞄准的对象是 广大的 Android 手机用户,收到该病毒简讯的 Android 手机,简讯、网络、电话以及个人资料等,都可能遭黑客窃取。
国外信息安全业者 Heimdal Security 发现,这次瞄准 Android 手机的恶意程序称为 Mazae Bot,黑客主要是透过手机简讯来散发;该简讯内容为“您已收到多媒体讯息从+'发送者手机号码国码''发送者手机号码'”后面还会附带一串网址 http:www.mmsforyou [.] Net /mms.apk ,若使用者点选该网址,若 Android 用户点选网址并执行该APK,便会让黑客取得装置的管理权限,进而撰写/传送/读取简讯、使用网络、拨打电话,甚至可以将手机上的资料通通移除。
另外,Heimdal Security 还指出,黑客还可以利用此漏洞来读取使用者的金融凭证简讯,更能藉此展开中间人攻击。Heimdal Security 建议 Android 使用者千万要提防,切勿随意点开简讯上的连结网址,并且不要随意安装 Google Play 以外的程序,以确保自己手机的资料安全无虞。
业内闻名的Stagefright漏洞
行动信息安全公司Zimperium在Android 作业系统中发现一个严重的安全漏洞,黑客发送一封简讯就可以窃取手机资料,且用户可能浑然不知!影响范围极大,Android 2.2至Android 5.1版的行动装置都可能被骇,总计约有95%的Android 使用者都在此影响范围内。
行动信息安全公司 Zimperium 研究员 Joshua Drake 指出,这个名为「Stagefright」的安全漏洞存在 Android 手机中,堪称史上最严重的系统漏洞。直到修补程序被开发出来,使用 Android 2.2 Froyo 以上作业系统的行动装置都将暴露在风险中,预估共有 95%、9.5 亿个行动装置受影响。
Zimperium 指出,若黑客取得你的电话号码,就可以透过多媒体简讯发送恶意程序来入侵手机;骇入手机后,便可窃取麦克风、电子邮件、文件、网站账号密码等私人资料。最可怕的是用户可能浑然不觉。
风声鹤唳的iOS致命短信事件
怪异简讯导致 iPhone 当机,使用者认为,这个情形似乎是因为iPhone 的横幅通知提醒功能(banner notification)。此一功能在处理 Unicode文字时,会以预览方式显示文字,若简讯内含有特定字符,就会导致 iPhone 的横幅通知会在显示讯息文字时当机。
藉由社交网站的力量,恶意简讯扩散的更快,提醒大家不要再尝试,免得灾情更加扩大。苹果目前已经得知此一消息,表示将很快释出更新软件来修复这个问题。
智能手机安全攻防
智能手机中毒概率高,还与用户的安全意识弱有直接关系,因此若想防止自己的手机中毒,除了安装强力防病毒软件,还必须加强自我防范意识,可以从以下三点入手:第一,不要随便扫描二维码,虽然二维码支付很方便,但是一些陌生商家或个人的发布二维码,极有可能其中就植入了木马程序。第二,不要随意点击那些垃圾短信里的链接,诸如“恭喜你中奖了,请点击链接下载“,当你点击链接之后就感染病毒了。第三,不要去下载垃圾应用或手游,在应用商店里都有不少垃圾手游,也植入了病毒和木马程序。下面,小狮子还为大家整理了多个保护用户隐私的小技巧,分享给大家。
1.不在山寨商店下载无名气应用程序
山寨商店也出现过很多不合格应用以及垃圾应用,应用涉及到的隐私权限会威胁到用户的隐私,这也与山寨商店对应用审核不严有很大关系,山寨商店下载应用程序并安装时,用户是会跳过查看应用权限这一步的,所以请不要在山寨商店下载没有名气的应用程序。
2.尽量少用USB模式下直接安装应用
这一点与第一点同理,用户经常会使用某些手机助手直接安装软件,同样会跳过Android上查看应用权限一项,正确的方法是下载应用后,将应用程序传输至手机,并使用文件管理器打开并在手机上安装应用程序,这样用户依旧会查看到应用程序所需权限的列表。
3.看到危险权限请谨慎安装
涉及到用户隐私的权限包括,短信相关权限、联系人权限、地理位置权限、拍照权限以及录音权限,在安装应用时应当注意,如果应用本身并不涉及到这些权限:比如一款游戏,就不要安装以免用户隐私泄露。
4. 关闭位置信息访问权限
在Android系统设置选项中,会有位置信息访问权限一项,这一项默认情况下需要我们关闭,这样应用程序在访问位置信息时就会提醒我们,如果你确定应用程序请求的这项信息对你有用,那么在此时可以开启,而平时不使用时,请关闭此项。
5. 禁止浏览器接受Cookie
Cookie的方便之处就是可以保存你在网站上存储的用户名、密码,但实际这样的行为很容易泄露Cookie,所以最安全的方法就是禁止接受Cookie,设置方法是在浏览器设置的隐私与安全中,不勾选接受Cookie,缺点是每次登陆都要设置用户名、密码。
6.借助第三方软件禁止广告
移动广告是大部分开发者赖以生存的经济来源,但是大部分用户并没有点击广告的习惯,而且广告插件还会记录用户的使用习惯,并向用户推送相应分类广告,同样具备收集用户信息的特性,所以你可以在root后,屏蔽掉手机的广告。
7.使用安全软件管理权限
root后很多安全软件具备了应用的权限管理,也就是应用在使用相关用户权限时会给用户提示,使用这类软件可以判断应用是否正确的使用用户权限,而不是使用涉及到用户隐私的权限,这样可以从根本上防止隐私被泄露。