粉絲團
很多人喜歡到一些中文討論區或下載網站,來下載一些行動裝置上方便使用的「免費」 APP ,但有句諺語也說過:「不用錢的最貴」,意指在您下載安裝免費 APP 軟體時,最好確定 APP 開發者是佛心來著,否則有時後果可不堪設想。芬安全資安防毒大廠( F-Secure )也一直持續留意這些中文討論區及下載網站上的 APP 是否安全,並且有一些特殊的發現。
在 7 月初,芬安全在一個中文下載網站找到一個名叫「 USB Cleaver 」的 Android APP 。這個 APP 的特別之處,是能夠在安裝後,透過 USB 連接電腦,直接拿取儲存於電腦內的重要密碼,包括瀏覽器儲存的社交網絡、電郵等帳戶和網站登入密碼,甚至是 Wi-Fi 密碼。
以下為這支程式的使用步驟:
- 1. 安裝後, Android 介面會看到 USB Cleaver 的圖示,打開後程式會引領用戶下載另一個約 3MB 的檔案
- 2. Android 用戶使用 USB 接上電腦後,可直接選擇要拿取的資料和密碼
這個程式我們定義為「 Hack Tool 」破解工具,這個程式的原意只是方便拿取帳密資資料,而非「病毒」或「惡意程式」。可是,這個程式引發的後續危險效應不得而知-現在 Android 用戶透過 USB 接上其他人的電腦充電的動作其實已經很普遍,如果你朋友的 Android 手機上安裝了「 USB Cleaver 」這支 APP , 然後接上你電腦,其實他是能夠不知不覺直接拿取你行動裝置內的所有密碼資料,這是一個值得重視並且要小心注意的事。
另外,如果被有心人士或是惡意軟體開發商擷取使用,未來有可能會使用類似方法,把拿取電腦檔案的編碼植入其他 Android APPs ,並自動上載這些偷取的檔案到網上這就是一件非常可怕的事。
芬安全( F-Secure )大中華區總代理商翔偉資安科技總經理杜世鵬也表示,因行動裝置耗電量相當高,經常要在外地充電是很平常的事,借用別人的電腦暫時充電一下也不足為奇,但現在民眾必需要開始有危機意識,千萬不要再讓任何人隨意借用你的電腦進行充電以免有心人士可以隨易的透過 USB 連接直接偷取你的資料和密碼。」
要防止自己電腦被其他裝置偷取資料,我們也建議用戶關閉 Windows 的 Autorun 功能。因為 USB Cleaver 這類軟體是透過 Autorun 功能,在接至電腦後自動執行一些 Windows 程式檔。另外,當有任何不是屬於你的裝置接上你的電腦時,記得看清楚電腦有沒有異様,例如裝置是否要求執行一些程式等等。」
