示意圖,與新聞事件無關。

密西根大學(University of Michigan)的研究團隊上周公布了一份報告 ,指出Google Play上有數百款的Android程式未能妥善保護開放埠(Open Port)功能,讓駭客也能利用這些被開啟的傳輸埠入侵Android裝置。

開放埠為網路基礎架構的一環,允許電腦程式接收來自遠端伺服器所傳遞的封包,同樣的,智慧型手機也可仰賴這些開放埠進行裝置間的內容分享或連結使用者電腦,不過,有鑑於電腦的IP位址是固定的,相對容易確認連網裝置的身分,但智慧型手機的IP位址卻是變動的,因而提高了安全風險。

該研究團隊使用了名為OPAnalyzer的工具來掃描Google Play上採用開放埠功能的行動程式,並發現當中有410款未能妥善保障開放埠的安全性,手動確認含有開放埠漏洞的則有57款,包括下載次數超過1000萬的熱門檔案傳輸程式Wifi File Transfer。

研究人員把該漏洞稱為開放埠後門,將允許駭客自遠端竊取裝置上的機密資訊,涵蓋通訊錄、憑證及照片等,還能遠端控制裝置、發動阻斷服務攻擊,或是注入惡意程式。

事實上,2015年底百度自製Moplus SDK所傳出的「蟲洞」(WormHole)漏洞 也與開放埠有關。研究人員指出,「蟲洞」只是開放埠的其中一個使用案例,但並沒有人繼續追究此一問題的規模,現在則證實了有不少程式含有同樣的漏洞。

密西根大學計算機科學暨工程博士班學生Yunhan Jia建議,當挑選具備跨裝置檔案分享、VPN或遠端控制手機等程式時,必須特別小心,最好只使用聲譽良好的開發人員所打造的產品。

 


Advertisement

更多 iThome相關內容