中大新聞中心

2015年7月9日

中大工程學院發現社交網站及智能手機保安漏洞引起全球關注

2015年7月9日
分享
列印

劉永昌教授(左)及張克環教授發現社交網站及智能手機保安漏洞。

香港中文大學(中大)信息工程學系的科硏團隊,近年致力研究及分析網絡系統的安全及防護,其中張克環教授及劉永昌教授分別成功檢測到Android平台及社交網站的重大保安漏洞,已率先於世界頂級的網絡安全學術會議 (ACM Conference on Computer and Communications Security 2014) 及國際黑客大會 (Black Hat USA 2014) 上發表,引起學術界、業界及媒體廣泛關注。 

Android語音助手助黑客偷取資料 

張克環教授領導的團隊首次發現Android內置的語音助手系統存在保安漏洞,讓黑客在用家不察覺的情況下,以遙距操控方式,在用家的智能手機上安裝一個惡意程式,播放語音攻擊的指令,透過語音助手對指令的反饋,竊取大量用戶的私隱信息或資料,輕易繞過現有Android系統的數據保護機制。據統計,約有超過5億名手機及平板電腦用戶受到影響。 

張教授的團隊設計了一套名為「VoicEmployer」的惡意程式,發現黑客可在未獲授權的情況下,操控受密碼保護的手機,啟動Google語音搜索並播放惡意語音指令,例如任意撥號。黑客更可遙距啟動手機用户的Google語音識別功能,以語音控制用戶的手機發送惡意短訊、電郵,甚至查詢用戶儲存在手機的個人資料,如語音電郵(voicemail)、行事曆、當前位置等內容。例如,黑客可向手機直接詢問手機用戶的日程,當Google語音搜索自動識別這個指令後,便會以語音反饋的形式回答用戶的下一個日程安排。 

張教授表示:「我們在發現此安全漏洞後,已即時將其運作方式及相關細節通知了Google安全團隊,並提供更新建議。Google語音搜索的更新版本中,已修復了部分問題。我們建議智能手機用戶應盡量使用官方商店提供的應用程式,避免安裝來歷不明的應用程式。」

社交網站認證系統存漏洞 數以億計用戶受影響 

劉永昌教授及其研究生胡辟礫和楊榮海發現,現時社交網站廣泛採用的開放授權認證系統2.0 (Open Authentication Protocol ,簡稱OAuth) 存在很大的漏洞,讓黑客可假裝成應用程式的身份,取得權限升級,竊取數以億計社交網站用戶的個人資料,並可監察用戶的網上活動狀況。為此,劉教授及其團隊開發了一個自動檢測軟件(OAuth Tester),以測試多個應用程式及社交網站的安全性,結果發現超過一半被測試的應用程式,因未有正確使用OAuth 2.0而出現不同的保安漏洞。 

OAuth是一個標準的通訊協定,允許第三方應用程式在用戶的社交網站上存取資料(如用戶之發帖、照片、活動狀態及朋友關係等)。第三方應用程式可通過這些個人資料,確定用戶的身份,而無需用戶提供密碼予該應用程式。OAuth 2.0中有不同的授權方式,由於不少社交平台缺乏把關,黑客只須簡單改寫編碼便可選擇使用安全性較低的授權方式,取得第三方應用程式的授權權杖(token),並假裝成該應用程式。由於某些社交平台會給予個別應用程式特高的權限,黑客以上述方法取得升級權限。 

劉教授表示:「在我們研究的十二個主流社交網站中,有八個存在假裝應用程式的漏洞,可對用戶造成不同程度的危害。最普遍的是黑客可以冒充應用程式發送虛假或誤導的信息予使用者,甚至可以在短時間內獲取數以億計用戶的私隱資料。我們還發現兩個社交平台有邏輯錯誤,導致用戶無法取消與該平台有合作關係的第三方應用程式的授權。」 

研究團隊已主動通知受影響之社交網絡服務供應商,並提供建議以加強對用戶私隱的保障。由於大多數用戶並不知悉這些漏洞,防不勝防,因此須依靠社交網站和第三方應用程式開發者來堵塞漏洞。部份主流社交平台亦已推出相關的防護機制。 

新發現引起全球關注 

2014年網絡安全學術會議及國際黑客大會在美國舉行,是兩個備受關注及極具影響力的網絡安全國際會議,雲集各國從事網絡安全的學者、研發人員、執法人員及政策制定者,多項有關網絡安全的最新研發成果都在此兩個會議中發表。中大是本港唯一參與國際黑客大會並發表論文的院校。 

中大電訊研究列全球十大 

中大最近獲湯森路透社評選為全球十大在電訊研究方面最具影響力的大學之一,同時為亞太地區唯一入選的大學,其餘九大皆為歐美大學。湯森路透社乃根據2004至2014年間各研究機構在電訊領域所發表論文之影響力作評選指標,入選機構之學術研究皆獲同儕學者所廣泛引用。有關分析已刊載於湯森路透社編製的 The Future Is Open: 2015 State of Innovation 報告之中。 

中大在電訊研究的發展始於1970年,前校長高錕教授於該年創辦電子學系,更成功將光纖應用於通訊之上,為全球通訊科技帶來極大變革,造福社群,也為中大工程學院在資訊科技和電子工程教研方面樹立卓越之典範,奠定長遠發展的基礎。時至今日,中大工程學院的教研團隊在通訊和網絡方面的研究仍不斷邁步向前,近年無論在網絡編碼、網絡安全及光纖技術的理論和應用方面,皆取得重大而創新的突破,科研成果受國際矚目。



劉永昌教授(左)及張克環教授發現社交網站及智能手機保安漏洞。

劉永昌教授(左)及張克環教授發現社交網站及智能手機保安漏洞。

 

下載所有相片