駭客下一個新戰場：智慧型手機

技嘉科技資深工程師陳盈豪。

企業資安日論壇Track II最後1場演講，由多年前曾造成台灣與南韓多部電腦重創的CIH病毒創始人、今為技嘉科技資深工程師的陳盈豪現身說法：揣摩駭客可能入侵智慧型手機的模式與防護之道。

駭客新戰場　智慧型手機

陳盈豪指出，在蘋果(Apple) iPhone與各種Android智慧型手機(Smartphone)成長且越來越普及的趨勢下，雙方共同建構近100萬套龐大的軟體市集生態，創造了駭客入侵的誘因。現在沒發生，不代表未來不會發生，用戶必須提高警覺。

他指出智慧型手機功能已經跟PC相當，可以灌軟體、升級系統，還可架網站；同時手機除了通話功能外，還具備WiFi無線上網以及3G/HSDPA行動上網的功能，甚至附加一些像震動、觸控螢幕、光源？靠近感應器、水平陀螺儀，照相與錄影功能，且手機裡還儲存著許多如通訊錄、E-mail、簡訊、照片、信用卡、銀行等重要隱私資訊，若被駭客植入木馬，那麼像是當用戶談話時開啟錄音，甚至在洗澡、換衣服時偷偷啟動攝錄影功能，使用者的隱私可能就有外洩風險。

遠端遙控　竊取個資

陳盈豪認為駭客可能將資料藉由殭屍？機器人網路(BOT)，以遠端遙控下指令的方式，將要外洩的個資切割打散，配合加密方式一點一滴的外洩，透過亂繞節點的方式避免被追蹤，在遠端的駭客電腦上聚沙成塔的拼湊起來。事實上在iPhone與Android Phone等手機上，就曾發生過軟體偷偷將資料回傳的事件，雖然官方均宣稱僅僅是蒐集個人簡單的資訊，但誰能確保蒐集到的不是機密資訊呢？

由於既有的Flash遊戲、網頁線上調查或其他程式，都會有存取網路、社交連絡人，以及定時或不定時傳送個數KB資料的設計，要分析程式傳資料是否為惡意行為，只能從費時費工的機器碼反組譯解讀方式著手，全球智慧型手機軟體總數突破100萬，很難一一解讀；而駭客設計程式的邏輯，也可能打散弄亂並拉長時間，像是幾千或幾萬個正常行為中間才參雜1個被掩飾的異常行為，一般使用者或公司網管，很難從流量的異常去判斷這種行為是否異常。

網頁RSA128位元編碼加上唯一鎖鑰機制的防護設計，破解所耗的硬體與時間成本所費不貲，駭客也不會花這樣的心神去做。關鍵在於駭客直接從被安裝木馬的手機去進行個資側錄的動作，那樣就算資料加密機制再好也無濟於事。

強化軟體開發者身分驗證　降低駭客誘因

陳盈豪認為蘋果與Google應該對軟體開發者身分確認工作更加嚴謹，可降低駭客的誘因。建議儘可能安裝來自Apps Store或Android Market的軟體，非經必要別去做越獄(Jail Break；JB)或開放ROOT等級的韌體碼升級修改動作。

安裝防毒？防木馬軟體也是必要的，代價是增加耗電、降低效能；對於未知病毒？木馬沒有抵抗力，有問題的軟體被抓包之前，可能也在用戶手機待了一陣子之後，也被刪除了，因此用戶認為假裝沒事，一切都很快樂。

筆者倒認為還可藉由加裝資料編碼軟體，儲存照片與個資並配上密碼防護，減少信用卡額度、少用信用卡來做線上購買，去銀行申辦限制轉出到非約定帳號，加辦信用卡？銀行轉帳的簡訊與來信提醒功能，可避免個資外洩並降低財產損失。