美國中情局利用自製和購買的惡意程式,入侵智慧型手機、平版、電腦和智能電視監控全世界

美國中情局利用自製和購買的惡意程式,入侵智慧型手機、平版、電腦和智能電視監控全世界

現代人普遍習慣使用的智慧型設備和無時無刻處在網路上,雖然帶給人們許多的方便,但也讓駭客有更多可以被攻擊的標的。而現在傳出的消息,不只是駭客,美國中央情報局(Central Intelligence Agency:CIA)也利用手機、電腦和智慧家電的漏洞來入侵這些設備。

美國中情局利用自製和購買的惡意程式,入侵智慧型手機、平版、電腦和智能電視監控全世界▲根據維基解密前陣子公佈的文件,美國中央情報局利用自製或者購買的惡意程式來入侵民眾的手機、電腦或智慧型電視。(圖片來源

前陣子今年3月7日,維基解密發布了8,000多頁的文件,文件中顯示CIA使用了相關的程式和工具,用來入侵智慧型手機、電腦甚至智慧型電視。甚至CIA還會利用防毒軟體的漏洞來入侵使用者的設備,像卡巴斯基、BitDefender,AVG、Comodo、趨勢、賽門鐵克、微軟Security Essentials、Avira、F-Secure...全都榜上有名,這些一般大眾知名的防毒軟體,幾乎無一幸免。對此事件,F-Secure芬-安全發表相關聲明。

美國中情局利用自製和購買的惡意程式,入侵智慧型手機、平版、電腦和智能電視監控全世界▲F-Secure芬-安全首席資安研究長 Mikko Hyppönen是資安界的傳奇人物。

F-Secure芬-安全首席資安研究長 Mikko Hyppönen表示:「多年來我們一直強調,芬-安全產品並沒有後門可提供給執法單位使用。此次事件剛好也證明了我們的觀點,情報單位必須破解我們的產品,而我們很高興看到CIA難以越過我們的保護。」

嚴格說起來,如果遇到這種國家等級的駭客攻擊,各種安全防護措施只是拖延被攻破的時間而已。這些專業的入侵者真要攻擊這些設備,都會事前先進行偵察,確定攻擊目標的現狀,有何防禦措施,再針對目標設計入侵的方式,也許巧妙地設計一個可繞過這些防禦的攻擊方式,甚至不需要使用惡意軟體就能成功的入侵。

美國中情局利用自製和購買的惡意程式,入侵智慧型手機、平版、電腦和智能電視監控全世界▲如果遇到國家級的駭客攻擊,一般的防毒軟體還是擋不住。(圖片來源

這就像偷車賊要偷你的車,不管你裝了拐杖鎖、氣壓傳訊鎖還是各種暗鎖,都只是時間的問題,給予足夠的時間,小偷終究是可以得逞。但你裝愈多的鎖,愈能夠拖延小偷的時間;增加他的風險,等於減少自己損失的機會。

所以,在自己的手機、電腦上安裝防護軟體,雖然沒有辦法完全不受這些專業駭客的攻擊,但是對於一般病毒、木馬程式仍然最有效率的防護。以目前CIA文件中所描述的方法來看,這種手法並無法單獨入侵個別目標,而且需要更進一步的連鎖攻擊才能達到相關目的。

但以現今的資安軟體的防護系統來說,都已經加入了一些額外的安全層做為防護的另一道防線。F-Secure芬-安全認為執行深度防禦和部署能互補的保護層配置是基本的措施,這樣才能防止一個設備有問題時,連帶造成其他設備也無法使用的問題。

F-Secure芬-安全的「深藍技術」是主動針對未知的病毒型態進行行為分析,只要病毒的去存取正常的應用程式所不會存取的檔案,或是程式的行為不符合一般的的行為時,就會在病毒執行惡意資料封包時阻止;此外,一般人現在也大量依賴搜尋引擎的搜尋結果,一旦找到了,可能想都不想就點下去。但這些連結很有可能會連結到惡意網站。因此在如果能夠使用全球即時線上的信譽評比機制,在使用者搜尋網路資料,要前往該連結時,透過雲端資料庫的分析,來確保要前往的網站是可靠的,那麼就可以減少中毒的風險。

翔偉資安營運長杜世鵬也呼應Mikko所說,建議政府一旦發現類似的資安漏洞後,應該透過資安通報機制進行宣布,並進一步要求相關供應商進行改善。至於,是否能夠利用此漏洞機會進行情資蒐查與反恐作業,也將是有其正面的意義存在。

美國中情局利用自製和購買的惡意程式,入侵智慧型手機、平版、電腦和智能電視監控全世界▲ Mikko Hyppönen不只一次大聲呼籲:「不要賣掉個人穩私來幫廠商賺錢。」免費的軟體獲利來源就是廣告和販售個資。如果不想個資外流,挑一套防護功能完備的資安軟體是必需的。

▶ YT頻道兩萬訂閱活動,送你萬元「OVO K1 智慧投影機」

使用 Facebook 留言

勞碌命
1.  勞碌命 (發表於 2017年4月03日 00:02)
"建議政府一旦發現類似的資安漏洞後,應該透過資安通報機制進行宣布,並進一步要求相關供應商進行改善。"
但是,萬一需要利用這些漏洞的就是政府呢?他們可能宣佈讓自己綁手綁腳,讓要追蹤的犯罪者可以趕緊補漏洞呢?想要資安的並非只有好人,壞人也是。

發表回應

謹慎發言,尊重彼此。按此展開留言規則