專欄作家, 林穎佑

使用即時通訊軟體,小心隔牆有耳

17 9 月 , 2016  

銘傳大學國際事務與外交學程兼任助理教授 林穎佑 博士

隨著網路應用的普及以及行動科技的應用,數位行動裝置已經是人們不可或缺的重要產品,而在其帶來的便利背後,也因為電子商務的龐大商機,引起許多有心人士的覬覦,也讓行動裝置的資安問題逐漸地浮上檯面,成為當今數位應用中的一大挑戰。

行動裝置帶來的便利中最重要的就是透過雲端科技讓資料的讀取與回覆,可以達到即時的效果。只要能連上網路,便能將處理資料,發揮雲端科技的價值。可以從各種不同「端點」,連線到存取資訊的「雲」,但是這種將雞蛋全部放在同一個籃子的情形自然也增加了不少風險。

特別是許多駭客或網軍眼中,與其將攻擊目標置於資安防護相對強固的雲端主機,不如從使用者的各個應用端下手,畢竟只要一端失手,全部的資料都有外洩的可能。

這也是在資安防護中常提到的「木桶理論」,如同木桶漏水是從最低的漏洞,即使旁邊的防護層級相當高,但只要有任何一處存在著漏洞,就有可能讓其他的資安防護化為流水,並在配合當前主流的APT攻擊(Advanced Persistent Threat, APT)將更容易達成入侵的目的。

APT攻擊的特性為高針對性、潛伏期長、高威脅性主要是利用收集攻擊者的基本資料、工作執掌、交友狀況、研究喜好、生活特徵、作業系統,並藉由這些情資的收集,來對攻擊目標量身打造設計專屬的社交工程(Social engineering)策略,配合魚叉式攻擊(Spear-phishing)藉此突破目標的資安防護。

近年來,這些攻擊除了以電子郵件為主之外,也開始擴散到通訊軟體裡。

配合行動通訊,許多的通訊軟體也如雨後春筍地出現在市場,而許多組織也為了通訊上的便利,會設立群組來做為工作溝通的管道,一般常見的LINE或是中國大陸的Wechat都是普及率相當高的系統。但在便利之餘,也出現資安上的疑慮。特別是許多使用者將通訊軟體除了安裝在手機上之外,電腦也會有一樣的帳號,造成有心人士只要入侵一處,就有可能突破全部的資安防護。

值得注意的是,近期不少資安報告中,都有提到寄生在通訊軟體中的黑色產業鏈,隨著通訊軟體的普及以及使用者日益增加,許多惡意連結或是金融詐騙也將目光至於此,特別是近期勒索軟體的氾濫,更有可能會藉由通訊軟體的群組轉發,並配合時事附上連結到惡意網站的超連結,來達到犯罪的目的。而手機中也會有其他的通訊資料以及與電腦或是雲端硬碟進行連線傳輸時,都有可能造成更大的資安危機,這都是在使用通訊軟體時,必須注意的問題。

當然在使用通訊軟體時,便存在資料外洩的風險,只要上網就會有遭到入侵的可能,但比起系統本身可能會回傳資料或是對使用者的使用習慣進行側錄,缺乏身分區隔的資安使用觀念,甚至在各種不同平台上,都只使用單一的密碼這可能才是造成資安問題的主因。

, ,

By



Recommended