快檢查！3款APP有問題 逾200萬用戶個資恐被竊

快檢查手機！近日國外資安公司「Synopsys」日前公布研究報告，指出Google Play商店中有3款APP因為設計的問題，導致程式中存在多個安全漏洞，若是遭駭客攻擊，恐怕個資都會洩漏。

根據外媒《SecurityWeek》的報導，「Synopsys」指出，「Lazy Mouse」、「PC Keyboard」、「Telepad」這3個應用程序在 Google Play商店中，有分為免費和付費版本​​，其作用是在安裝後，可以使用手機遠端操控桌機的滑鼠，截至目前為止，總下載量已經超過 200 萬次，其中「Telepad」雖然已經從Google Play商店下架，但官網可以進行下載，而另外2款APP則依舊存在於Google Play商店，且已長達2年未進行更新。

研究指出，這3款APP的身份驗證機制薄弱，且含有不安全的通信漏洞，編號從CVE-2022-45477到CVE-2022-45483，當中有3個的CVSS漏洞危險程度評分高達9.8分，讓駭客能夠未經身分驗證許可，輕易從APP中查看用戶在電腦輸入內容，並竊取手機中的資料。

延伸閱讀>>Zenly將停止服務 新「抓猴神器」衝上排行榜第一

此外，「Synopsys」也強調，從今年8月起，就多次向開發商回報APP存在資安漏洞，但在90天的緘默期間內都未收到回覆，所以才會選在此時公開，希望能夠呼籲大家立刻刪除，「這3個應用程序被大家廣泛的使用，但它們既沒有得到維護，在回報安全問題後也沒有得到回覆，顯然開發商在研發這些應用程序時，並沒有考慮到安全性的問題」。

其實在 Google Play商店中不僅會有APP出現漏洞，甚至還會有詐騙APP，微軟（Microsoft）6月底曾揭露最新的病毒，官方部落格的一篇文章指出，安卓系統最新的病毒通常會利用無線應用通訊協定（WAP）來詐騙，因為該無線應用通訊協定允許用戶，每月透過電信帳單提前支付款項，且不會出現信用卡等敏感字眼，所以用戶不容易發現。

一旦用戶下載 App 並授予權限後，會默默被引導到按下訂閱服務，就會在不知不覺中被扣款，帳戶的餘額一點一點流逝，直到被偷到完全不見。具體來說，該病毒攻擊SOP共有6道程序，首先當用戶下載APP並授權後，會強制開啟行動網路，進而讓手機畫面導到訂閱網站，程式操控碼自動點擊訂閱鍵，攔截系統傳送的驗證碼，並回傳給電信業者，最後取消簡訊通知，一連串過程都偷偷進行。至於要如何避開這類型的病毒？微軟指出，盡量不要下載來路不明的程式，下載前檢查該軟體的評論，最重要的是「簡訊、通知、無障礙服務」，這3項權限千萬不要輕易交出去，否則會讓駭客更輕鬆掌握。

（封面示意圖與本文無關／pixabay）

更多東森新聞報導
知名女星71歲癌逝 家屬發161字聲明證實死訊
Zenly將停止服務 新「抓猴神器」衝上排行榜第一
班上27人「他被26人討厭」 老師問1題全班沉默