近日台灣傳出多起手機APP病毒詐騙扣款事宜,本篇文章從Android APP的技術觀點,說明該如何防範,以及攻擊會怎麼發生,希望大家可多留心注意。
防範手機APP駭客病毒木馬準則 (大眾可閱讀)
收到簡訊或流行的Line/whatsapp好友訊息,出現連結網址時,如果不是Google Play 或App Store 官方網站的,請與傳送者確認是否安全才點選。
Android手機:Menu->設定->安全性->裝置管理,請確認「未知的來源」沒有勾起。除非你在做Android開發程式的測試,否則不建議勾選此項。
檢查你安裝的Android APP,是否用了下述權限:
*PROCESS_OUTGOING_CALLS:權限代表可以得知你的撥號號碼(包含你如果在一開始撥號,就用, 的等待機制,先把信用卡號、身份證字號、生日個資輸入,都可以被有此權限的第三方程式攔截)、攔截你的撥號、或修改撥號號碼、中斷你的撥號。
READ_SMS、WRITE_SMS、RECEIVE_SMS、SEND_SMS、WRITE_SMS。這些權限代表可以自動讀取簡訊、自動送出簡訊、自動刪除簡訊。
READ_CONTACTS、READ_CALL_LOG:讀取你的通訊錄、讀取你撥號的紀錄。
正常的第三方app有些還是需要上述權限,但建議您可以與app開發者,詳細請教你的隱私資料是否被傳到伺服器、如果有傳到伺服器,是匿名收集的?還是有針對特定性的收集?或相關功能是怎麼運作的,如何保護你個資安全。
- 安裝防毒軟體,Android手機防毒軟體獨立評比,可參考AV-TEST網站2013年8月最新版:http://www.av-test.org/en/tests/mobile-devices/android/jul-2013/
5. Call Saver APP 內建:165防詐騙、以及110報案電話,若真的遇到詐騙,趕緊撥打電話吧!
手機APP病毒木馬攻擊的步驟 (對技術細節瞭解者可閱讀)
利用社交工程以及人性的恐懼,譬如收到好友傳來的訊息:「你的照片被偷拍了,快點選http://goo.gl/oxoxoxo下載」、或是好奇心:「這是我最新的寫真照,來看看吧 http://goo.gl/xoxoxoxox 」。
使用者若沒注意,就被引導下載病毒app。
當開啟該APP後,可讀取你的通訊錄,在背景偷偷傳送簡訊給你的友人,利用友人間的信任感,加強病毒APP連結被點選的機率。
電信商有一種小額付款的機制,當購買後,電信商會傳回認證碼要求使用者確認,可參考165說明 http://165.gov.tw/fraud.aspx?id=21 。Android 的開放技術,允許第三方程式:自動送出簡訊、自動讀取簡訊、自動刪除簡訊。因此這個病毒木馬APP,可以做到自動消費、自動回傳認證碼,順便再把相關的簡訊刪除掉,讓使用者在不知情的狀況下,只有隔月收到帳單才知道已經當了冤大頭。
有些警覺性比較高的民眾,會即時想撥打165反詐騙、或者110報案專線。但Android有個開放技術更猛,允許第三方app, 第三方app只要有這個權限 PROCESS_OUTGOING_CALLS ,就可以攔截你撥打的電話號碼、或者把電話號碼改掉、以及直接不啟動撥號程序。因此駭客程式就可以讓你撥打165,110時,撥打不出去。
我們在做Call Saver 客服省錢通APP過程,也跟使用者呼籲,勿將個資資料,如信用卡號、身份證字號、生日等,直接儲存成”我的最愛”的撥號規則,目的是避免一按鈕撥號過程,直接帶出整串的電話號碼與個資,直接就被第三方程式所擷取。針對需要個資的客服電話,如果你不是在撥號規則就把個資儲存,而是採取互動過程的逐一輸入個資代碼,就不會受到PROCESS_OUTGOING_CALLS 權限影響而被第三方取走整串資料。
