網絡安全﹕防毒手機App 不防毒反招黑客?

文章日期:2019年05月08日

【明報專訊】手機已成為現今都市人不可或缺的電子產品,但近日有一品牌推出的手機,內置一個具防毒功能的手機應用程式(App),原意是在預設情况下,加強保安及減少用家私隱所受的威脅。但最近有外國媒體發現,這個保安程式原來存在保安問題,黑客可以利用這漏洞植入惡意程式,竊取手機內的密碼、進行勒索、追蹤用戶位置及做其他侵犯私隱及保安的行為(在執筆時,該手機開發商已完成修補漏洞的工作)。

究竟為什麼會出現漏洞?根源是這個有問題的防毒應用程式,整合了一部分第三方元件,而問題便是出現在這個非品牌自家開發的元件上,亦將問題帶到這個防毒應用程式內。基於發生這樣的問題,筆者想起現時應用程式開發時,很容易出現物流供應鏈的問題。

以現有工具包製作 忽略保安漏洞

對於不太認識手機應用程式開發的讀者,先解釋這些程式的開發過程。現時不少手機開發商,大多會使用別人已經做好、內置很多基本的功能的元件或軟件開發工具包(Software Development Kit,簡稱SDK),來開發程式。基於西方有句諺語「Reinvent The Wheel」(意思近似多此一舉)的原則,在編寫程式時結合多個工具包並附加額外的功能,便可成為一個可以上架的應用程式,令程式開發進行得更方便及快捷。

雖然在開發的進度上加快,但同時由於這些工具包是來自第三方的公司或開源項目(Open Source),它們有機會出現保安問題,而更大的問題是,有些手機廠商或程式開發公司,只會專注在自家開發程式的額外功能上,卻忽略了這些工具包本身的保安問題,沒有好好地追蹤及管理這些工具包,形成應用程式出現保安漏洞。

Android 應用程式首當其衝

正如在今年3月,有保安公司分析出超過200個在Android系統上的應用程式,因為開發商使用了有問題的軟件開發工具包,令黑客可以利用這些總下載量超過1億的應用程式,在用戶不知情下,為自己增加廣告點擊率,間接得益,而受害人的流動裝置,便會因此加快電力和數據流量的耗損。這些利用受害人資源來為自己騙取利益,視為欺詐行為。同樣問題在去年12月時,Google已經提出類似的警告,而且在今年4月將大量有問題的應用程式下架,當中有部分應用程式的下載量超過5000萬,相當驚人。

作為用戶,雖然我們處於被動的位置,但只有減少應用程式的安裝及定期更新,可以把風險減到最低。作為程式開發商,如果不想程式被下架,要認真關注物流供應鏈的保安問題,好好管理及跟進軟件開發工具包的漏洞,推出安全可靠的應用程式。

文:楊和生(香港互聯網協會網絡保安及私隱小組召集人)