2015-7-6 10:27
sinta
實測6款通訊Apps 邊隻保安至屎?
[youtube]dHB9xmukrrY[/youtube]
【本報訊】建制派WhatsApp對話外洩,引來全城熱話。《蘋果》委託資訊保安公司測試市面上6款熱門手機通訊Apps(程式)的保安功能,結果顯示,LINE的保密性能最強,手機版或網頁版均使用獨立的加密算式,確保用戶發出的訊息難以被第三者破解讀取。電腦網頁版則以Facebook Messenger最差,用家的朋友清單、朋友檔案照(profile picture),甚至相簿也可一併被讀取。
記者:梁御和
資訊保安公司Nexusguard Consulting的安全研究員謝輝輝指,一般透過手機及電腦發出的短訊均會傳到Apps的伺服器,再轉予接收者。是次測試模擬黑客先設立偽冒的免費WiFi熱點,引誘用家登入使用,再趁他們以WhatsApp、Telegram、Facebook Messenger、LINE、WeChat及Skype等6款熱門通訊Apps發訊時,嘗試在中途截取訊息。
[img]http://static.apple.nextmedia.com/images/apple-photos/apple/20150706/large/a0601a.gif[/img]
[img]http://static.apple.nextmedia.com/images/apple-photos/apple/20150706/large/06la6p11.jpg[/img]
■網頁版Facebook Messenger的洩密情況最嚴重,用家朋友清單、朋友的大頭照及相簿也會全數被截取。鍾偉德攝
問諜程式能攻陷手機
結果發現,用家經手機發訊時,6種Apps均會以較強的TLS甚至獨立的加密算式(protocol)加密後才發出,故即使在傳送過程中被黑客截取,對方也因未能解密,只看到一堆亂碼,不能將訊息還原。
不過上述Apps除以手機使用外,用戶也可以電腦登入網頁版發訊。惟檢測發現,除LINE以外,其餘所有Apps的網頁版,加密功能均被削弱,WeChat、Skype及Facebook Messenger發出的文字、照片甚至檔案均全被輕易截獲破解後再讀取,當中Facebook Messenger漏洞最嚴重,連用家的朋友清單、朋友檔案照(profile picture),甚至相簿也一併被讀取。
Nexusguard Consulting行政總裁龐博文解釋,手機版的通訊Apps供用家在不同地方流動使用,故均預設使用保安性能較強TLS或獨立加密技術,惟部份Apps在開發網頁版時,卻未有套用同一加密技術。
另外,如用家手機被安裝間諜程式,則不論Apps的保安功能多強,也會被全天候截取所有通訊。研究員即場展示一部被安裝間諜程式「ikeymonitor」的iPhone,可記錄手機鍵盤所有輸入內容,甚至預設每30秒擷取一次手機的螢幕畫面,再轉發予黑客自由存取。
[img]http://static.apple.nextmedia.com/images/apple-photos/apple/20150706/large/06la6p12.jpg[/img]
■龐博文指Apps的網頁版改用安全性較低的SSL加密技術,可輕易被黑客破解。楊觀賜攝
LINE保密性能最強
是次測試的6種通訊Apps中,以LINE的保密性能最強,手機版或網頁版均使用獨立的加密算式,確保用戶發出的訊息難以被第三者破解讀取。去年大量LINE用戶賬號被盜取,騙徒再偽裝成事主,向通訊錄內的朋友發訊,哄騙他們到便利店代購數百至數千元的網上遊戲點數卡,香港資訊科技商會榮譽會長方保僑解釋是由於早期的LINE可供用戶透過facebook或電郵等不同途徑登入,也可隨意將賬戶轉移到不同手機,「俾人入侵到電郵、facebook嗰時隨便hack埋個LINE賬戶」,其後LINE升級系統,新增了二階段安全認證功能,例如禁止移動賬戶,即除用家手機外,禁止其他手機或裝置登入同一賬戶,「估計都係出過事,先痛定思痛做番好保安功能,唔係邊有人敢用」。
來源:[url]http://hk.apple.nextmedia.com/news/art/20150706/19210070?_ga=1.87319448.1446747252.1407231573[/url]