幾時都話，用短訊或電郵做 2FA 雙重驗證唔係絕對安全。雖然 Google 今年初先加強咗 Android 系統嘅 2FA 驗證漏洞，阻止第三方應用軟件開發公司擅自讀取 SMS 或通訊資料。不過最近已經有研究員發現有 Android 惡意軟件可以繞過此防線，繼續盜取一次性密碼 （OTP, One-Time Password）。 研究員 Stefanko 喺早前發現，一款冒充土耳其加密貨幣交易平台 BtcTurk…

用作監視子女或者配偶的應用程式，原來暗藏漏洞！防毒軟件公司 ESET 最近推出研究指，Android 的進蹤應用程式受到漏洞的威脅，並威脅受害者，有可能令受害者的私隱暴露和威脅其安全性。 ESET 研究人員表示，這類應用程式在近年變得相當流行，其開發人員多以可保護兒童作為招徠，但這些監視用的應用程式或會被第三方濫用。作案者會使用這些應用程式來監視受害者，並以之收集 GPS 位置、監視對話、取得瀏覽器歷史記錄、圖像以及儲存在設備上的其他敏感數據。研究人員分析了 86 個 Android 相關應用程式，並在 58 個應用程式中發現了逾 150 個安全漏洞，揭示受害者將面臨其他隱私和安全風險。 ESET 在此分析中，將安裝了應用程式並作遙距監視的人定義為「跟蹤者」，而「受害者」則是指被監察者通過應用程式監視的目標人物。最後，「攻擊者」則是指「跟蹤者」和「受害者」不知道存在的第三方。「攻擊者」可以利用應用程式或其相關監視服務中，所存在的安全性問題或私隱漏洞入侵。 而這個問題可能導致「攻擊者」直接接管操控用作監視「受害者」的設備，也可能上傳虛假證據以威脅受害者。研究人員按照他們為期 90…

一款下載量超過 1,000 萬次的 Android app Remote Mouse，被發現有超過 6 個零日漏洞 (zero-day vulnerabilities) 存在。雖然網絡安全專家已向開發商舉報，但超過90日仍未有回應，現時漏洞已被公開，Remote Mouse 用家都是暫時用回實體滑鼠會較安全。 Remote Mouse 是一款可以將智能手機或平板電腦，轉變為電腦無線滑鼠的手機 app。它不單可作為電腦的滑鼠或 trackpad，亦支援語音輸入，以及可作為電腦多媒體播放器的遙控，因此甚受用家歡迎。根據它在 Google…

早前 WhatsApp 更新條款要求用戶允許與 Facebook 共享數據，引起全球關注。如果用戶拒絕，WhatsApp 將會限制其功能。雖然 WhatsApp 表示，不會刪除或停用反對其最新私隱政策更新的帳戶，但實際上用起來有何不同呢？ 自 2021 年初以來，WhatsApp 推動的政策更新與去年的私隱政策相比，有了極大轉變，當時政策允許用戶選擇不與 Facebook 共享其帳戶信息。然而後來曾指如果不接受新條款，便會刪除或停用不妥協的用戶的帳戶。今年私隱政策更改之後，可以獲得 WhatsApp 用戶數據的公司就包括 Facebook、Facebook Payments、Onavo、Facebook Technologies 和…

又到了智能電話市場派發成績表的時候！市場調查機構 Canalys、IDC 及 Strategy Analytics 近周先後發布本年第一季全球智能手機出貨量報告，綜合數據顯示，本年第一季智能手機的出貨量逾 3.4 億部，較 2020 年同期增加兩成多，其中三星手機是大戶，出貨量逾 7500 萬部，拋離排名第二、出貨量介乎 5240 萬至 5700 萬的蘋果 iPhone。不過，若單計香港市場，iPhone 仍然是最得消費者歡心的智能手機系列。 根據 Canalys…

Google Android 非官方 App Store APKPure 被發現本身就是一個藏有木馬病毒的手機 app，同一時間，又有網絡安全專家發現華為官方手機應用市場 AppGallery 亦有十款手機 app 藏有病毒，我想平平安安玩 app 啫，好奢侈咩？ Android 智能手機作業系統一直讓用家保持一定的自由度，可以選擇安裝 Google Play Store 以外的第三方…

疫情之下，令許多人被迫長期留在家中，家庭娛樂供應商或成為最大贏家。有數據指，在 2020 年底 Netflix 的付費用戶數量突破了 2 億大關，有不法分子推出惡意軟件，承勢利用該串流平台假裝推出免費高級訂閱服務。但世事邊有咁「著數」！這個在 Google Play 可下載的惡意軟件，以冒充 Netflix 繼而入侵受害者 WhatsApp 會話，藉以展開發財大計。 Google Play 早前出現了一個新的 Android 惡意軟件變種，以承諾提供免費訂閱 Netflix…

有 Apple iPhone 用家投訴，在官方 App Store 上架的加密貨幣錢包 app Trezor 竟然是偷錢app，令用家被盜取約60萬美元bitcoin，揭示 App Store 其中一個安全漏洞，不過條數點計先？ 小編一直都呼籲大家一定要在官方 App Store 下載及安裝軟件，特別是 Android 裝置用家，由於 Google…

Google 在剛舉行的 Google I/O 2021 大會上公布，即將為全球 Android 版 Chrome 用家推出新服務，透過人工智能 (AI) 技術 Duplex on the Web，讓用家可以更簡單為各種帳戶更改登入密碼。另外，其密碼管理器亦有新工具，可直接匯入第三方密碼器內儲存的帳戶登入資料。一切鋪排，無非希望提升用家的帳戶安全性。 不少網絡安全事故的肇因，都是因為用家的帳戶登入資料不幸遭受外洩，而用家又未能及時發現。有見及此，Google 早已在 Chrome 的密碼管理器內增值外洩事故通報，當…

由 2 月 18 日起，政府有條件開放食肆晚市堂食、健身室、美容院等處所，要求進出以上處所人士，強制使用「安心出行」應用程式或登記個人資料作出入紀錄，否則將被罰停業。但此項防疫措施引起社會對私隱及監控問題的憂慮，同時亦再次令大眾關注應用程式索取的手機權限會否過量。wepro180 找來跨國資訊安全公司 wizlynx group 資訊安全服務總監盧振宇（Mike），探討安心出行權限注意位及其他應用程式的安全問題，以及使用時的自保方法。 「安心出行」應用程式最令人「不安心」的部分是要求存取的權限是否全部都具必要，根據該應用程式 Andriod 1.1.6 版本所列出的權限所需，包括相機拍攝功能、全面網絡存取權、擷取執行中的應用程式、控制震動、防止手機進入休眠狀態、啟動時執行及接收互聯網資料。雖然創新及科技局長薛永恒曾多次強調，程式沒有追蹤功能，政府亦不會刻意查看市民出行記錄，所有資料會存放在用戶手機，不會存在中央資料庫，但政府的說法仍未釋除市民疑慮，不少人仍對「安心出行」抱有戒心。 擷取執行中的應用程式成爭議點 「安心出行」最受爭議需索取的權限為「擷取執行中的應用程式（Retrieve running apps）」，意即「安心出行」可知道用家的電話同時在運行中的應用程式，由於政府沒有作出相關解說，因此難以推斷需要此權限的真正原因，網上亦引起不少猜測。Mike 估計，此權限或因程式開發人員編寫時用上第三方程式庫，例如需要配合其他應用程式使用，如掃描 QR code 時要用上第三方程式，便需要用到此權限；不過 Mike…