探射燈:QR Code 暗藏保安漏洞 私隱一掃而空

二維碼(QR Code)近年在本港普及,只要用手機掃描,便能連接至相關資訊網頁或完成電子轉帳,惟當中暗藏保安陷阱。本報記者聯同科技保安公司進行測試,發現黑客可藉偽造二維碼引導用戶下載惡意軟件,從而盜取其電子身份及進行竊聽、定位追蹤等,將手機變成監視工具,甚至套取用戶敏感資料進行勒索。有學者指,消費者難以辨識被竄改的二維碼,促港府加入認證規格的要求;專家呼籲公眾勿安裝不明軟件,並保持手機更新至最新作業系統。

「掃一掃,無煩惱!」旺角、尖沙咀、中環等鬧市的廣告板,幾乎十有八九印有二維碼,由商品包裝、活動宣傳海報,以至招聘啟事,均可找到其蹤影,足見用途廣泛。近年本地商戶陸續引入電子支付系統,二維碼的應用更趨普及,就連金管局早前啟用「轉數快」亦推出「共用二維碼」,供商戶將不同流動支付工具的收款碼合而為一;有傳港鐵亦有意在閘機加裝二維碼感應器,最快於二○二○年中便可掃描來付車費。

墮釣魚網站 鎖機照遙距操控

然而,二維碼為生活帶來便利的同時,亦暗藏保安隱憂,用家可能連私隱都賠上。資訊保安專家龐博文指出,外地曾有不法分子在海報及廣告板上以偽冒的二維碼覆蓋原先的二維碼,令用家在掃描後連接至釣魚網站,藉此套取用戶的敏感資料。「原理就好似舊時流行嘅詐騙電郵,騙徒可能會冒認某啲大機構,扮有抽獎活動要你掃描,一唔為意就中招。」

龐與其團隊向記者作進一步示範,模擬黑客利用二維碼作為入侵用戶手機途徑的情況。測試人員先開啟手機內的相機應用程式,向龐製作的二維碼進行掃描,手機隨即連接至目標網站並要求下載及安裝第三方應用程式,安裝後手機即返回主畫面,未有出現任何異樣。惟龐團隊的電腦上已在直播手機前置鏡頭的影像,可清晰看見測試人員的樣貌,而且手機內的電話簿等資料亦一目了然。即使測試員「鎖機」,手機表面上進入睡眠狀態,團隊仍可遙距操控手機,如入無人之境。「若果你部手機用電量突然大增,就應該留意吓會唔會已經被人入侵咗。」

自動下載木馬病毒惡意程式

「呢啲第三方應用程式,未經官方認證上架,用戶隨時裝咗木馬病毒同惡意程式都唔知。」龐表示,黑客入侵手機後,不但能偷拍及直播,更可進行竊聽、盜發短訊、通話監聽、定位追蹤等,且用家完全不知情。他又指,若用戶將手機部分保安功能關掉,更可能導致其毋須先獲用戶按下同意發出指令,便自動下載來歷不明的第三方軟件,等同令手機「中門大開」。

現時的手機功能強大,可媲美電腦,原來亦改變黑客攻擊的手法。龐指,近年常見的是黑客利用已入侵的手機進行「挖礦」獲取加密電子貨幣,或是作為入侵其他用戶的跳板,最嚴重的是盜取用戶的數碼身份和銀行帳戶資料,甚至向用戶或其聯絡人作出勒索。「將來港府有意引入手機版本嘅電子身份證,被入侵嘅後果可能更嚴重。」

圖/文:專案組

第一手消息請下載on.cc東網iPhone/iPad/Android/Windows Phone Apps