全球5億Android智能手機用戶或面臨個人資料外洩威脅。英國研究員警告,Android手機中的恢復出廠設定(factory reset)功能,並不能保證徹底刪除手機所有內容,意味就算用戶在轉賣舊手機前刪除全部資料,或是遺失手機後透過遙距指示清除資料,不法之徒仍有辦法復原裡面的相片、影片和短訊,甚至入侵用戶的電郵賬戶。
加密系統形同虛設
劍橋大學電腦學系教授安德森(Ross Anderson)及西蒙(Laurent Simon)從eBay網站購入21部二手手機,操作軟件由Andriod2.3至4.3不等。全部手機在恢復出廠設定後,都留下能被還原的數據,WhatsApp及facebook等熱門程式的內容亦不能倖免;更在80%手機中還原出master token檔案,黑客可藉此存取用戶的Gmail、YouTube等Google服務,連舊機主的銀行或財務資料,亦可用相同手段破解。
電腦保安公司Avast亦做過類似測試,僅利用坊間的資料復原程式,就在20部二手Android手機中,復原出4萬張相片,其中250張更是舊機主的自拍裸照;另外亦找到數以百計的電郵和短訊、4份身份證資料及1份完整的個人財務表。
即使很多Android手機都會把儲存資料加密,但研究員發現,部份手機中沒有加密的檔案,能用作破解已加密資料,令加密系統形同虛設。
研究員估計,全球多達5億Android用戶在使用上述有安全漏洞的系統;此外,6.3億手機機主,把手機轉手時,不會刪除內置SD卡內的資料,增加相片和影片流出的風險。
華爾基利信息安全研究組織電腦保安研究員賴灼東表示,一般用家不會看到舊機主的資料,「但較資深用家root機(取得最高管理權限)後就會搵到」,他直言「除非日後有更新,否則Android系統冇乜可能保證完全清除曬啲資料」。
至於蘋果iOS是否更安全,賴灼東表示由於未見有相關漏洞報告,難以作出評論。香港互聯網供應商協會主席葉旭暉則指,Android屬開放源碼系統,未必全部廠商都有為手機資料加密,而iOS則肯定有做到。
英國廣播公司/本報記者
刪除和保障手機資料方法
1.使用Secure delete(安全刪除)應用程式
2.傳送敏感資料時,使用Wickr等安全度高的通訊程式
3.轉售手機前個別刪除重要資料
4.轉售手機前,用不重要的檔案覆寫儲存空間
5.切勿安裝來歷不明的應用程式
6.iOS的用家不要「越獄」
from:
http://hk.apple.nextmedia ... 150525/19159635
