手機由於輕便易攜,近年來已經逐漸超越電腦,成為人們密不可分的夥伴。「人手一機」成為常態,自然也會吸引網路駭客或有心人的目光,但人們對手機資安防護的觀念還追不上電腦。雖然這幾年隨著媒體相關報導漸多,開始喚起了部分民眾對於手機資安防護的重視,但要如何分辨並選擇真正有效的防毒APP,日常使用時又該如何減少手機中毒的風險,對使用者來說,仍是個難題。
國際獨立測試機構《AV-Comparatives》去年針對Google Play Store上250款反惡意程式APP進行測試,其中僅80款對惡意APP的偵測率超過30%,換言之,僅有不到3成的防毒APP有效。
清點大部分的不合格防毒APP,研究人員發現,有些不會確實掃瞄下載程式的程式碼,只會掃瞄封裝名稱,比對白名單/黑名單;有些只能抓到舊的惡意程式樣本;甚至有的防毒APP本身就是被優良防毒APP偵測為有問題的程式,不是偽裝的木馬程式就是垃圾軟體,不知情的用戶一旦下載了,等同引狼入室。
資安大廠趨勢科技產品行銷經理朱芳薇證實,他們也曾在官方應用程式商店上發現非法APP,不知情的民眾一旦下載,就會被駭客竊取手機內的重要資料。因此,下載手機防毒APP前務必慎選,而非囫圇吞棗,一股腦地下載一堆。
國外科技網站《Tom's Guide》先前針對多款Android手機防毒軟體進行評測,最後總結出6款主流防毒APP,包括比特防毒的「Bitdefender Mobile Security」、諾頓的「Norton Mobile Security」、卡巴斯基的「Kaspersky Mobile Antivirus」等。
資安評測網站《AV-TEST》也公布了其針對19款Android手機防毒軟體進行的測試結果,同時依防護效能、實用性及資安相關功能 3 個項目進行評測,其中有8款獲得滿分,包括賽門鐵克的「Norton Mobile Security」、趨勢科技的「Mobile Security 10.2」、捷克軟體公司AVG的「AVG AntiVirus Free 6.17」等。
綜合各家名單,這些表現出色的APP有個共同點,即多出自知名防毒品牌廠商之手。許多廠商原本就有推出電腦防毒軟體,因應智慧手機成為主流上網裝置,又加碼研發手機防毒APP。有這樣的背景,這些APP自然品質有保證,部分廠商還有推出免費版供下載體驗,如果消費者覺得好用,也可以付費下載升級版,取得更完整的防護。
《AV-Comparatives》的研究人員另提供一些判別防毒APP是否可信賴的依據。根據經驗,大多數有風險的APP是出自業餘開發人員或非資安業界的廠商,前者可從Google Play Store的作者聯絡資訊來判斷,這類業餘開發人員不會提供公司網址,僅有電子郵件信箱;後者雖然有提供公司網址,但查詢後可以發現業者多半是從事廣告業,只想透過防毒軟體打知名度,民眾在下載APP前可以稍微留意「作者聯絡資訊」這部分。
而在防止手機中毒部分,除了隨時更新系統,提升手機的防護力外,最簡單的就是不要隨意下載來路不明的APP或點擊可疑網址。不過,APP商店內充斥著五花八門的修圖APP、好用的工具軟體及精彩刺激的遊戲,面對這麼多誘惑,似乎也很難不心動。趨勢科技全球技術支援與研發中心表示,使用者在安裝手機APP和提供個人資料前,應先仔細考慮三件事:
第一、是否真的有必要提供這些資料
有些開發廠商會向使用者索取與遊戲無關的資料,例如要求使用者連結他們的社群網路帳號,好將相關動態資訊分享給他們的朋友。但使用者應該注意,一旦給了應用程式越多資訊,出事的後果也會越嚴重。
第二、可能會有其他第三方公司能存取這些資訊
因為有些手機APP的開發者會將部分服務外包,因此能獲取使用者個資的公司可能將不只一間。
第三、如果對提供敏感個資有疑慮的話,就不要使用
專家指出,使用者必須明白,「妳/你」是為自己的個人資料跟設備負起最終責任的人,因此必須小心去選擇誰值得信賴,可以交付自己的資訊。
另外,隨著行動裝置盛行而逐漸普及的公共充電座,也存在人們肉眼看不見的風險。根據《BBC中文網》報導,近幾年來在公共充電處USB插座裡出現了一種被稱為「juice jacking」的病毒軟體,如同字面上的意義「電池偷竊」,專門趁使用者充電時進入行動裝置裡竊取資料。因此最近又流行一種USB安全防護套,透過阻塞USB線中的數據引腳(data pins),讓手機在充電時只容許電流輸送,不能進行數據交換,以防止資訊流出。
隨著手機取代電腦,成為普羅大眾最常使用的上網裝置,民眾在使用手機時也應更加小心,別讓自己形影不離的貼身夥伴成為有心人的利用工具。