一如其他現代的裝置,與智能電話相比,曾經紅極一時的功能電話看起來十分「愚蠢」,然而這種被認為是老人家才使用的電話,在網絡保安的漏洞上,卻一點也不過時,打破以為沒有智能電話的功能便會安全的誤會。
被感染的舊世代電話
較早有外國有人對5部低價的舊世代功能電話進行了網絡安全的測試,發現其中兩部在打開電源時會發送用戶資料到某處,至於是製造商、發行商、韌體開發者或其他人就不得而知,也不清楚資料的用途,可能是用戶監察銷售數據或控制產品在不同國家的批次分佈,而事實上,所有智能電話也會傳送部份數據,所以未至於十分危險。
不過智能電話製造商至少嘗試把收集到的資料匿名化,而且有更清晰的傳送目的地,但在這項研究中誰人在未取得用戶同意的情況下收集敏感資料完全不得而知,例如其中一部電話不但傳送它的serial number、啟動國家、韌體資料和語言,也收集發射基座的資料,能夠大約估計用戶的位置。
此外,收集資料的伺服器並沒有保護措施,任何人都可以隨意取得資料,而有關的資料其實經由互聯網傳送,功能電話的用戶可能甚至不知道原來電話能夠上網,所以隨了私隱問題,有關行動可能令用戶被收取流動數據費用。
另一部電話除了洩露用戶資料,也被設計成從用戶手上偷錢,根據韌體分析,電話經互聯網聯絡指令伺服器並執行指令,包括發送隱藏訊息至付費號碼。
被測試的電話中,有一部具更先進的惡意功能,包括讓陌生人用電話號碼去注冊Telegram,即是電話能攔截注冊時的SMS短訊,並轉發到C&C伺服器,與其他問題相比此舉明顯屬於犯罪行為。
如何得知我的功能電話是否不安全?
與真正10年前的低階電話相比,現代的功能電話也包含了互聯絡功能,即使是「乾淨」的裝置也可能有令人不愉快的發現,專為無法連線互聯網的電話結果無論如何都會上線。
較早前,相同的研究人員分析了其他按鍵電話,即使沒有發現惡意的功能,該裝置有選單去付費購買占卜和遊戲,只要透過短訊就能購買,這意味著老人家或小朋友可能意外地購買了,即使沒有互聯網和app。
這個被感染的功能電話故事的重點,是有些國家的製造商和經銷商加入額外的功能,而地方代理並不發現問題,另一個複雜的因素是按鍵電話批量提供多種不同型號,難以區分正常與被入侵的手機,除非能夠調查韌體,而明顯並非所有代理能負擔相關的支出。
有時候可能直接購買智能手機來得簡單,當然也要考慮預算的問題,很可惜便宜的智能電話也可能存在相似的惡意程式問題,但如果能負擔得起大製造商的產品,即使是最簡單的型號,也可能是用戶更安全的選擇,尤其如果是追求簡單、可靠和沒有隱藏功能而選擇功能電話的話,如果是Android系統也可以考慮安裝可靠的防毒應用程式,這是功能電話欠缺的選項。
如果使用者是「老友記」,倚靠揭開摺機來接聽電話,要適應輕解式螢幕可能有點困難,但絕對值得嘗試,現時有不少老友記已經轉用智能電話。
資料來源:Kaspersky Blog
