黑客犯法無孔不入 (保安研究員賴灼東)

原文刊於信報財經新聞專欄「StartupBeat創科鬥室」

科技日新月異，犯罪手法亦層出不窮。最近有外國高科技匪徒持槍行劫虛擬貨幣，以及盜用賬戶偷走點數卡。《信報》Startupbeat請來電腦保安研究員賴灼東，拆解時下的網絡保安漏洞，並傳授各種自保方法。

主持：尹思哲 《信報》科技編輯

嘉賓：賴灼東 電腦保安研究員

尹：近日網上有消息指出，WhatsApp都出現「買點數」騙徒。程式明明已時常更新，為何仍遭黑客入侵？

賴：首先，要看事主是用什麼手機，究竟是Android還是iOS？作業系統有更新嗎？有可能在不知情下，誤裝有病毒的App（手機應用程式），被黑客透過手機遊戲取得WhatsApp權限之類。使用網頁版WhatsApp時，也可能被他人盜取密碼，黑客甚至從網頁瀏覽器落手，入侵途徑非常多。

尹：據說，內地的通訊軟件會隨機抽出用戶監聽資料，這真的存在嗎？

賴：既然使用內地App，早就預料有網絡監控的情況。其實無論哪個國家都有發生，只在於程度的差別。監控可以有兩面，他們同時亦監控着一些釣魚網站及不法行為等，我建議不要在即時通訊軟件傳送商業或個人秘密、密碼、相片等。始終在背後監控的都是人，你不知道對方看到後會發生什麼事情，盡量避免就最好。此外，有些通訊軟件可「閱後即焚」，或者具備「已閱」功能，對用戶較有保障。

網站挖礦取代勒索

尹：最近有報道稱，兩款智能喇叭有網絡安全漏洞。萬一到訪不安全連結時，黑客就可透過其咪高峰監控用戶，其實這些智能裝備一直偷聽我們的起居生活嗎？

賴：任何東西只要能夠上網或與其他App溝通，就有機會出現漏洞。今次是喇叭，下次可能是洗衣機，再之後是電視機，通通都有可能。

尹：比特幣價格近年飆升，引來全新的黑客業務，那就是入侵遠端電腦，以對方電腦幫手挖礦。你有聽過這些例子嗎？

賴：蘋果公司最近發現，Baby Kingdom（親子王國討論區）被植入一套挖礦工具，而招聘平台JobsDB亦有挖礦程式，我有客人的電腦也中招。

以前，黑客入侵電腦只為盜取機密資料，或是安裝勒索軟件。現時比特幣利錢高，他們不再盜取資料，而是使用該電腦挖礦賺錢。如果黑客攻陷一間公司的系統，指使2000台電腦一起掘，既毋須逐個人要挾，亦不用被FBI調查，相信比勒索軟件更好賺。

尹：若網站不幸被黑客入侵，那會是該網站的公司電腦挖礦，還是瀏覽該網站的用戶電腦挖礦？

賴：當網站被植入挖礦程式，用戶只要瀏覽或打開，就會不斷幫黑客挖礦，所以用戶愈多的網站，就愈容易被看中。現時仍有不少開發人員停留在「建好網站及做好功能就得」的階段，但當有問題出現時，公司聲譽便會受損。

至於自保方法，用戶可檢查網頁瀏覽器有否可疑的網絡連接。例如曾去過的網站應只會讀取一次資料，惟它為何不斷連接？另外，凡是突然免費的着數都可能是「買個豬頭搭件豬骨」，吸引你瀏覽網站。

尹：電影情節中，黑客毋須接觸到手機，只要處於同一網絡就可入侵系統，這是真的嗎？

賴：又不會那麼誇張，亦要視乎你的手機接觸到多少網絡服務。當手機越獄（Jailbreak）後，就會出現更多後門，增加被入侵機會。如想使用多些功能，你必須了解整個系統。

對我而言，若要試用新App，最好改用另一部新手機，不要在常用的手機試。因你不知道該App會否有監控功能或要什麼讀取權限。

非必要程式應移除

尹：這聽起來就如科幻電影般，感覺現正一步步實現情節。

賴：美國電影於多年前已談及各種網絡保安事件，以此方法教育公眾十分聰明。若家居網絡被監控或改動設定，黑客可把雪櫃溫度改至攝氏30度。雪櫃事小，但如果是醫院呢？血庫出問題，如何動手術？

智能家居、智慧交通都是智慧城市重要一環，就算巴士到站時間出錯，問題也不會太大。上述提到的，可能是食物安全甚或人命。當智慧城市普及後，其功能安全與否確是十分重要，系統有機會被篡改嗎？這要先做滲透測試，以及風險評估才能知道。

此外，大家要反思當智能手機功能愈多，存在的風險就愈大。我知道有些功能是必須，但非必要、讀取太多權限及無故出現的程式都應該移除；同時，亦要謹記時常更新軟件及系統。

註：以上嘉賓訪問均屬個人意見，與本報立場無關。

[ English Version ]

App monitoring, cryptojacking: Cyber-threats to watch out for

支持EJ Tech

如欲投稿、報料，發布新聞稿或採訪通知，按這裏聯絡我們。