好心電腦借朋友手機充電 小心個資與帳密全被偷

(2013年7月23日,台北訊)很多人喜歡到一些中文討論區或下載網站,來下載一些行動裝置上方便使用的「免費」APP,但有句諺語也說過:「不用錢的最貴」,意指在您下載安裝免費APP軟體時,最好確定APP開發者是佛心來著,否則有時後果可不堪設想。資安防毒大廠芬安全(F-Secure)也一直持續留意這些中文討論區及下載網站上的 APP是否安全,並且有一些特殊的發現。

在7月初,芬安全在一個中文下載網站找到一個名叫「USB Cleaver」的 Android APP。這個APP的特別之處,是能夠在安裝後,透過USB連接電腦,直接拿取儲存於電腦內的重要密碼,包括瀏覽器儲存的社交網絡、電郵等帳戶和網站登入密碼,甚至是 Wi-Fi 密碼。

以下為這支程式的使用步驟:

1. 安裝後,Android介面會看到USB Cleaver 的圖示,打開後程式會引領用戶下載另一個約 3MB 的檔案

2. Android用戶使用USB接上電腦後,可直接選擇要拿取的資料和密碼

這個程式我們定義為「Hack Tool」破解工具,這個程式的原意只是方便拿取帳密資資料,而非「病毒」或「惡意程式」。可是,這個程式引發的後續危險效應不得而知 – 現在Android用戶透過USB接上其他人的電腦充電的動作其實已經很普遍,如果你朋友的Android手機上安裝了「USB Cleaver」這支APP, 然後接上你電腦,其實他是能夠不知不覺直接拿取你行動裝置內的所有密碼資料,這是一個值得重視並且要小心注意的事。

另外,如果被有心人士或是惡意軟體開發商擷取使用,未來有可能會使用類似方法,把拿取電腦檔案的編碼植入其他Android APPs,並自動上載這些偷取的檔案到網上這就是一件非常可怕的事。

芬安全(F-Secure)大中華區總代理商翔偉資安科技總經理杜世鵬也表示,因行動裝置耗電量相當高,經常要在外地充電是很平常的事,借用別人的電腦暫時充電一下也不足為奇,但現在民眾必需要開始有危機意識,千萬不要再讓任何人隨意借用你的電腦進行充電以免有心人士可以隨易的透過USB連接直接偷取你的資料和密碼。」

要防止自己電腦被其他裝置偷取資料,我們也建議用戶關閉Windows的Autorun功能。因為USB Cleaver這類軟體是透過Autorun功能,在接至電腦後自動執行一些 Windows程式檔。另外,當有任何不是屬於你的裝置接上你的電腦時,記得看清楚電腦有沒有異様,例如裝置是否要求執行一些程式等等。」

英文原文詳見   http://www.f-secure.com/weblog/archives/00002573.html