本月初才剛驚傳 Goole Android Market 遭惡意程式入侵的事件,當時導致下載並安裝的使用者手機門戶大開,略估約有 26 萬戶的個資安全受到威脅,後續雖有 Google 緊急採取遠端移除惡意程式措施,但現在卻另有資安公司示警,Android Market 危機還有更多!
根據資安公司 Duo Security 首席技術官 Jon Oberheide 所言,因為 Android Market 與 Chrome 瀏覽器結合的特性,包括 Web market 內的 XSS 漏洞,能讓駭客跳過使用者做最後的確認,直接將惡意程式下載至目標手機。
但對於 Android 手持裝置而言,當應用程式欲安裝至使用者端時,並無任何「確認安裝」程序,導致程式在安裝前少了一層使用者的最後把關,自然也能讓駭客透過瀏覽器的惡意連結,先誘使受災用戶點選,再以遠端遙控方式任意安裝程式,進而竊取資料或進行犯罪行為。這點又以習慣將 Google 帳號進行手機與電腦配對的使用者而言更加危險。
至於這次 Android Market 被發現 58 個惡意應用程式一案,目前除 Google 已將問題程式下架,並向受災用戶啟動遠端刪除措施,另有資安公司 Lookout 提供的免費檢查程式,供用戶自行取用。
原文網址
沒有留言:
張貼留言