智慧型手機成資安重要議題

智慧型手機成資安重要議題     2011/04/18-楊迺仁  
隨著智慧型手持裝置的銷售數量日益增加，雖然目前尚未成為惡意軟體的首要攻擊目標，但仍有跡象顯示手持裝置資安的未來重要性。尤其在愈來愈多的企業要求員工必須配備智慧型手持裝置，如房仲業透過iPad提供房價即時查詢，並利用push mail讓企業與員工保持隨時隨地的聯繫關係，更是基本功能。

目前有愈來愈多的企業架設私有雲，讓員工隨時隨地只要能上網，就可使用企業提供的軟體或資料庫服務。但如此一來，也讓網路犯罪份子有機可乘，其中又以目前最流行的手機作業系統Android為最主要的鎖定目標。

放大 RIM曾進行過14款手機的修補，共費時近200日才與500餘家合作電信業者完成測試。法新社
     
放大 方便的手持式裝置讓人可隨時隨地上網，也讓網路犯罪份子有機可乘，其中又以Android作業系統為最主要的鎖定目標。法新社
更多>
手機近年來受到的安全威脅愈來愈多，除了透過簡訊、多媒體簡訊、電子郵件、網頁瀏覽、藍牙、記憶卡等途徑傳播外，更有高達40%的應用軟體有安全威脅。網秦科技(NetQin)國際業務副總裁周遠指出，手機病毒軟體在過去幾年以等比級數方式快速成長，2010年新增手機病毒已高達1,700種，遠高於2009年的400多種，至今累計手機病毒已達2,500種。

事實上，2010年包括美國及大陸等地，都曾爆發大規模的手機病毒感染事件，如2010年底大陸出現「惡靈古堡」簡訊病毒，超過150萬手機用戶受到感染，駭客藉此大量發放廣告簡訊，造成用戶損失大筆簡訊費用；2010年7月美國則爆發Carrot Tip Calculator病毒，用戶下載計算小費的應用程式後，每隔1小時就會將用戶簡訊上傳到指定的電子郵件信箱，導致個人隱私資訊嚴重洩漏。

智慧型手機漏洞　成不法份子新目標

值得注意的是，儘管資安研究單位不斷向手機大廠示警，如白帽駭客研究機構TEHTRI-Security在2010年便已發現RIM、蘋果、Google的手機存在缺陷，駭客可使用惡意網路代碼癱瘓手機，但各手機廠商得知此訊息之後的態度，反應不一。

據研究機構創辦人暨執行長Laurent Oudot指出，Android的缺陷，可讓駭客針對Gmail應用程式，進而癱瘓瀏覽器應用程式，並於舉辦的黑帽駭客大會中簡略分享攻擊代碼，但並將公開攻擊代碼公開發布在網路上，僅希能藉機吸引開放式社群投入Android作業系統的修補工作。

Oudot在2010年初，亦曾將類似的資訊傳達給RIM，雖然RIM認為發生資安問題的風險並不高，但仍是該公司必須面對的問題，因此決定修補14款手機，沒想到的是，居然費時近200日才與500餘家合作電信業者完成測試，終於在2011年1月11日發布修補建議。包含本次在內，RIM僅發生過3次資安修補問題。

而Android的最大特色由於是採用開放策略，任何人都可為Android系統寫程式，並在不受審核的情況下發布，自然也讓病毒有散布的機會。如Google在3月初就將Android Market裡由Myournet所上傳的21款Android App下架，就是因為這些軟體有些會企圖root Android 手機、有些會將手機中的通話相關資料，甚至包括IMEI碼偷偷上傳，有些軟體甚至會在手機中裝上後門程式，以規避使用者額外設置的密碼。

甚至有些軟體本來是付費軟體，卻在重新上傳後，成為免費軟體，許多人不疑有他，還以為撿到便宜，就在不知不覺中掉入陷阱。而且Google雖然在Android Police回報後，在5分鐘內就將這些軟體下架，但下載數仍已經超過50,000次。

更可怕的是，Google本來還特別提供了1個名為Android Market Security Tool的工具，來清除這些惡意軟體對手機所做的修改，進而防止手機在感染惡意軟體後，將手機中的重要資訊上傳給不法份子。結果這些歹徒居然也將Google開發的反木馬工具，變成了木馬化應用程式。這個被稱為AndroidOS_BGSERV.A的軟體，不但會蒐集手機中的相關資訊，再傳送到1個遠端的網站，還會不經使用者允許就執行某些功能和動作，包括修改通話紀錄、攔截或監控訊息，以及下載影片，可見手機惡意軟體的可怕程度，絕對不輸給個人電腦的惡意軟體。


DIGITIMES中文網 原文網址: 智慧型手機成資安重要議題 http://www.digitimes.com.tw/tw/dt/n/shwnws.asp?cnlid=13&packageid=4528&id=0000227185_5BV2XPVP71OCC96ZQ9BJB#ixzz2NCyvFSM2