又到了智能電話市場派發成績表的時候！市場調查機構 Canalys、IDC 及 Strategy Analytics 近周先後發布本年第一季全球智能手機出貨量報告，綜合數據顯示，本年第一季智能手機的出貨量逾 3.4 億部，較 2020 年同期增加兩成多，其中三星手機是大戶，出貨量逾 7500 萬部，拋離排名第二、出貨量介乎 5240 萬至 5700 萬的蘋果 iPhone。不過，若單計香港市場，iPhone 仍然是最得消費者歡心的智能手機系列。 根據 Canalys…

利用智能手機或智能裝置在網上購物，已成為不少人的消費習慣。最近有分析指，未來幾年將會有過十億智能電話、平板電腦或智能手錶用家，會常用面部識別技術作支付；研究亦指，面部識別和其他生物認證技術，將有助於流動付款者的安全付款。 有關分析由 Juniper Research 負責，除了面部特徵外，分析師還預測將會有不同的生物特徵，應用於驗證流動支付，包括指紋、虹膜和語音識別。根據研究人員表示，2025 年全球 95 ％ 智能手機具有生物特徵識別能力，而利用生物特徵作支付的交易額由 2020 年的 4,040 億美元，上升至超過 3 萬億美元交易額。 愈來愈多人使用流動裝置支付代替信用卡，令用家即使在購物時忘掉拿錢包，仍然能完成購物。電子商務生態系統正在迅速增長，但同時存在隱憂，詐騙者亦可開闢新途徑，利用新漏洞搵食，所以必須確保付款人，的確是支付帳戶的擁有人，而非被盜用。因此，識別生物特徵正朝著改善流動支付的安全性發展，由其是相對普及的面部識別。 面部識別技術的常用示例包括 Apple 的 FaceID，可用於授權從…

Android 系統容許用家從非官方渠道下載及安裝應用軟件，可說是一把雙刃劍，一方面可讓用家自由安裝手機 app，但同時亦增加用家被黑客入侵的風險，例如最新發現的 Oscorp 惡意軟件，就透過疲勞轟炸手法令用家授予手機權限，一心軟或怕煩就出事。 意大利電腦網絡保安事故協調中心發出警報，指發現一種新 Android 惡意軟件 Oscorp 正在肆虐，一旦取得用家賦予手機 accessibility services 無障礙服務功能權限，即可暗中與黑客架設的 C&C 控制中心，偷取用家的 SMS 短訊內容、啟動 Google Authenticator 雙重身份認證 app，以及開啟錄影及錄音功能。…

以色列公司 Cellebrite 以出售電腦、智能手機的破解工具聞名，不少國家的執法機關都會購買工具，應用於調查方面，即使被調查人士不肯交出開機密碼，執法人員仍可強行進入系統搜證。不過，這些「國家級」調查工具，最近竟被美國的學校暗中採購，莫非有特殊監控用途？ 可能大家對 Cellebrite 會感到陌生，它其實是一間以提供手機資料轉移及手機數據破解為主要服務的公司，而 Cellebrite 自家開發的解碼神器 Universal Forensic Extraction Device（UFED）備受各國執法機關及特務機構讚賞，因為它可破解超過兩萬款不同品牌、型號的智能手機。以iPhone為例，它便可強行進入系統，讀取內裏的通話記錄、短訊內容、聯絡人、相片及位置等資料，不過，由於 Apple 定期推出系統更新，所以 Cellebrite 所能破解的 iPhone 會稍稍落後，直至被其研究員發現系統或硬件漏洞為止。 而根據外國科技網站 Gizmodo…

今時今日，絕大部分人上網都是用智能手機，但網絡安全公司Rapid 7研究員就發現，Safari、Opera等7款手機版瀏覽器存在極大漏洞，可讓黑客在網址列偽造網頁連結，令用家誤以為自己正在訪問官方網站，實情卻被引導至釣魚網站上，不自覺地親手將帳戶登入資料雙手奉上…… 為確保用家可以安全地瀏覽不同網站，瀏覽器服務供應商如Google、Mozilla、Apple等都會為產品加入各種反偽造網站的識別技術，例如在網址列加入鎖頭圖標，讓用家可以一眼辨識自己有否跌入釣魚網站圈套。不過，Rapid7研究員指這些安全技術卻有可能因為手機屏幕較細，而被部分瀏覽器取消，從而讓黑客有可乘之機。研究員於是檢視了市面上各種手機瀏覽器，最終發現Safari、OperaTouch、Opera Mini、UC Browser、RITS、Yandex及Bolt等7 款瀏覽器，均存有JavaScript詭計漏洞，因本身設計的問題，令黑客可操控網址列上出現的網址，但實際上卻將用家引導了偽造網站，而由於沒有鎖頭安全圖標輔助，用家便無法得知已跌入陷阱，成功達到網址列欺詐(Address Bar Spoofing)攻擊。 研究員以手機版Safari為例，由於在設計上系統會保留任意port上呼叫的網址在網址列上，只要黑客在網頁JavaScript程式碼內將setInterval時間改為每2毫秒便載入新的網頁內容，便可透過時間差，在網址列仍顯示原網址的情況下，極速將用家引導至其他偽造網站，以時間差令用家上當。研究員指出如偽造網站製作得跟官方網站一模一樣，用家便會傾向相信自己正在訪問官方網站一樣，從而輸入自己的帳戶登入資料。 除了Safari，其他6款瀏覽器亦存在類似問題，Rapid7研究員在今年8月發現這漏洞後，已去信通知受影響的瀏覽器供應商，不過，除了Apple已修補了Safari的漏洞，Opera承諾會在11月推出修補檔外，其他4款瀏覽器供應商卻未有回覆，相信未必會在短時間內修補上述問題。現階段用家就要小心使用這些瀏覽器，建議用家最好避免使用。 資料來源：https://bit.ly/2TfyS22

千萬不要低估一張相的威力，原來早在今年春季之前，Instagram用家的手機，只要經任何途徑例如電郵、社交平台、即時通訊程式收到一張「加工」相片，不單只可以被奪取帳戶，更可控制你的手機成為監察工具，而且iOS及Android裝置同樣受影響，認真脆弱。 先旨聲明， Facebook 在收到及確認 Check Point 專家 Gal Elbaz 的發現後，已經在今年春季為Instagram推出修補檔案，所以現時大家已不會再因這漏洞遭殃。而出事原因，在於 Instagram 採用的第三方 JPEG 解碼器 Mozjpeg 存有緩衝區溢出（heap buffer overflow）漏洞，當手機相簿內儲存了黑客的特製相片， Instagram 用家又準備上載新相而於…

Apple 推出咗新嘅系統更新檔 iOS 13.7，而喺呢個新版本嘅「設定」版面，就多咗一個「暴露通知」（Exposure Notifications）功能，到底佢有乜作用呢？原來佢係有助終止 COVID-19 傳播鏈喎！不過又會唔會有私隱漏洞存在呢？ 新冠疫情反覆，有傳染及感染學專家更認為將要同病毒共存，難以好似 SARS 一樣短時間內減，呼籲公眾做好心理準備。事實上，唔想好似早前香港第三波疫情爆發嘅場面再度出現，就一定要做好病源及傳播追蹤，先可以將緊密接觸者全部隔離。而今次 Apple 喺推出嘅 iOS 13.7 更新版本中，就追加咗一項有助追蹤確診人士接觸過邊啲人嘅 contact tracing 功能，唔使政府部門自己開發及營運一隻獨立嘅追蹤應用軟件。 Apple 嘅「暴露通知」追蹤系統運作原理，主要係利用…

現今科技日新月異，用家對科技產品同服務嘅要求愈來愈高。不單止你部手機會進化 — 大家密切關注嘅監控技術其實都與時並進。講到呢度，大家可能已經會開始擔心：以往嘅監控技術其實都唔係話冇威脅，而家佢地仲要加強？點算好？到底係咩嚟？…定 D 嚟，睇埋落去，將你地嘅問題一一解開，仲可能帶俾你一絲曙光。 監控技術當中最常見嘅其實係一種叫做「魔鬼魚」﹙Stingray﹚嘅假冒手機發射站。呢種發射站會 Jam 咗 3G 同 LTE 等等嘅服務，強逼手機連線到不受保障﹑難以加密嘅 2G 網絡上面。當手機連咗上去，監測者就會得到大量用家手機資訊，例如即時位置，IMSI ﹙International Mobile Subscriber Identity﹚ 號碼等等 —…

現代人出街一定帶手機，因為呢部多年嘅科技結晶實在太方便。而出街最常用嘅功能一定係開 map 搵路，着重私隱嘅人每次搵完路可能識得熄咗「定位服務」，但咁做真係夠？ National Security Agency (NSA) 近日發佈了一份指南，指出智能手機、平板電腦、運動手機中的位置資訊對黑客嚟講其實非常有價值，可以揭露用家嘅生活方式﹑習慣同個人關係，從而推演出一個人嘅生活漏洞。更指出一大誤區，定位服務唔等於 GPS，單單熄手機上面嘅定位服務其實係唔夠㗎。手機被定位嘅來源嚟自好幾樣電波訊號，如果完全熄曬佢地，用家就比較難被追蹤。所以一定要做多幾樣野，多重保護，先至夠放心。 講左咁多，一齊睇下實質有咩可以做啦﹗ 關閉手機定位關閉 WiFi 同藍牙將 Apps 權限限制到最少將廣告權限限制到最少減少出街時上網，關閉本地數據使用 VPN 上網關閉 Find My Phone…

鍾意試唔同手機 app 功能嘅玩家，都會時不時去 App Store 搵嘢玩，好似 Android 用戶就會去返 Google 嘅 Play Store，一心以為有官方認證，一定會好安全，但實情係唔少惡意軟件都成功避過 Google 嘅安全檢測，最近就有法國網絡安全公司 Evina，喺 Play Store 上發現咗 25 款由同一黑客組織推出嘅有餡…