中大新聞中心

2015年7月9日

中大工程学院发现社交网站及智能手机保安漏洞引起全球关注

2015年7月9日
分享
列印

刘永昌教授(左)及张克环教授发现社交网站及智能手机保安漏洞。

香港中文大学(中大)信息工程学系的科研团队,近年致力研究及分析网络系统的安全及防护,其中张克环教授及刘永昌教授分别成功检测到Android平台及社交网站的重大保安漏洞,已率先于世界顶级的网络安全学术会议 (ACM Conference on Computer and Communications Security 2014) 及国际黑客大会 (Black Hat USA 2014) 上发表,引起学术界、业界及媒体广泛关注。 

Android语音助手助黑客偷取资料 

张克环教授领导的团队首次发现Android内置的语音助手系统存在保安漏洞,让黑客在用家不察觉的情况下,以遥距操控方式,在用家的智能手机上安装一个恶意程式,播放语音攻击的指令,透过语音助手对指令的反馈,窃取大量用户的私隐信息或资料,轻易绕过现有Android系统的数据保护机制。据统计,约有超过5亿名手机及平板电脑用户受到影响。 

张教授的团队设计了一套名为「VoicEmployer」的恶意程式,发现黑客可在未获授权的情况下,操控受密码保护的手机,启动Google语音搜索并播放恶意语音指令,例如任意拨号。黑客更可遥距启动手机用户的Google语音识别功能,以语音控制用户的手机发送恶意短讯、电邮,甚至查询用户储存在手机的个人资料,如语音电邮(voicemail)、行事历、当前位置等内容。例如,黑客可向手机直接询问手机用户的日程,当Google语音搜索自动识别这个指令后,便会以语音反馈的形式回答用户的下一个日程安排。 

张教授表示:「我们在发现此安全漏洞后,已即时将其运作方式及相关细节通知了Google安全团队,并提供更新建议。Google语音搜索的更新版本中,已修复了部分问题。我们建议智能手机用户应尽量使用官方商店提供的应用程式,避免安装来历不明的应用程式。」

社交网站认证系统存漏洞 数以亿计用户受影响 

刘永昌教授及其研究生胡辟砾和杨荣海发现,现时社交网站广泛采用的开放授权认证系统2.0 (Open Authentication Protocol ,简称OAuth) 存在很大的漏洞,让黑客可假装成应用程式的身份,取得权限升级,窃取数以亿计社交网站用户的个人资料,并可监察用户的网上活动状况。为此,刘教授及其团队开发了一个自动检测软件(OAuth Tester),以测试多个应用程式及社交网站的安全性,结果发现超过一半被测试的应用程式,因未有正确使用OAuth 2.0而出现不同的保安漏洞。 

OAuth是一个标准的通讯协定,允许第三方应用程式在用户的社交网站上存取资料(如用户之发帖、照片、活动状态及朋友关系等)。第三方应用程式可通过这些个人资料,确定用户的身份,而无需用户提供密码予该应用程式。OAuth 2.0中有不同的授权方式,由于不少社交平台缺乏把关,黑客只须简单改写编码便可选择使用安全性较低的授权方式,取得第三方应用程式的授权权杖(token),并假装成该应用程式。由于某些社交平台会给予个别应用程式特高的权限,黑客以上述方法取得升级权限。 

刘教授表示:「在我们研究的十二个主流社交网站中,有八个存在假装应用程式的漏洞,可对用户造成不同程度的危害。最普遍的是黑客可以冒充应用程式发送虚假或误导的信息予使用者,甚至可以在短时间内获取数以亿计用户的私隐资料。我们还发现两个社交平台有逻辑错误,导致用户无法取消与该平台有合作关系的第三方应用程式的授权。」 

研究团队已主动通知受影响之社交网络服务供应商,并提供建议以加强对用户私隐的保障。由于大多数用户并不知悉这些漏洞,防不胜防,因此须依靠社交网站和第三方应用程式开发者来堵塞漏洞。部份主流社交平台亦已推出相关的防护机制。 

新发现引起全球关注 

2014年网络安全学术会议及国际黑客大会在美国举行,是两个备受关注及极具影响力的网络安全国际会议,云集各国从事网络安全的学者、研发人员、执法人员及政策制定者,多项有关网络安全的最新研发成果都在此两个会议中发表。中大是本港唯一参与国际黑客大会并发表论文的院校。 

中大电讯研究列全球十大 

中大最近获汤森路透社评选为全球十大在电讯研究方面最具影响力的大学之一,同时为亚太地区唯一入选的大学,其余九大皆为欧美大学。汤森路透社乃根据2004至2014年间各研究机构在电讯领域所发表论文之影响力作评选指标,入选机构之学术研究皆获同侪学者所广泛引用。有关分析已刊载于汤森路透社编制的 The Future Is Open: 2015 State of Innovation 报告之中。 

中大在电讯研究的发展始于1970年,前校长高锟教授于该年创办电子学系,更成功将光纤应用于通讯之上,为全球通讯科技带来极大变革,造福社群,也为中大工程学院在资讯科技和电子工程教研方面树立卓越之典范,奠定长远发展的基础。时至今日,中大工程学院的教研团队在通讯和网络方面的研究仍不断迈步向前,近年无论在网络编码、网络安全及光纤技术的理论和应用方面,皆取得重大而创新的突破,科研成果受国际瞩目。



刘永昌教授(左)及张克环教授发现社交网站及智能手机保安漏洞。

刘永昌教授(左)及张克环教授发现社交网站及智能手机保安漏洞。

 

下载所有相片