網絡保安

視障人士面對的網絡威脅

by admin

視障人士使用輔助工具或應用程式,可以瀏覽或使用網上的服務,其中一個應用程式就是Be My Eyes,而他們無可避免地也需要面對網絡威脅,到底它能否發現不同的陷阱,最後還有對視障人士的網絡安全小貼士。

失明和弱視者面對的常見網絡威脅

弱視用戶在使用數碼界面時,通常通過螢幕擴大機、特大字體和高對比設定,對他們而言,釣魚網站和電郵特別危險,因為容易忽略故意的拼字錯誤,常見是網域名或電郵地址,例如 rnicrosoft{.}com。失明人士主要透過聲音進進行瀏覽,使用螢幕閱讀器和特定觸碰手勢進行,他們使用螢幕閱讀器會比弱視用戶更容易發現釣魚網站,當軟件讀出網址時,用戶會聽到當中的端倪,不過,如果服務(不論合法或惡意)並不完全支援螢幕閱讀器的話,掉入陷阱的風險將會大增。

謹記螢幕放大機或閱讀器只是支援工具,它們的設計是放大或敘述界面,不能作為保安工具使用,也不會警告用戶面對的威脅,這需要更先進的軟件,可以分析圖像和檔案的工具,找出可疑詞言描述螢幕上正發生事情的背景。

何時依靠助手

Be My eyes擁有約90萬用戶和超過900萬位義工,支援Windows、Android和iOS,是連接視障用戶與義工的橋樑,通過視像通訊協助用戶處理日常事務,應用程式會為用戶連線第一倍說他們語言的義工,然後使用智能電話的鏡頭發出提示,現時該服務支援32種語言。在2023年應用程式擴展它的功能推出Be My AI,由OpenAI GPT-4推動的虛擬助手,用戶提攝照片然後AI進行分析,然後提供詳細的文字描述再朗讀出聲,用戶可以打開對話視窗繼續發問,到底AI能否發現到釣魚網站?

作為實驗,研究人員上載假社交媒體登入網頁的截圖到By My Eyes,在電話上,可以於相簿或檔案內選擇圖片,Windows則直接上載截圖,開始時AI提供網頁的詳細描述,在追加發問「可否相信這網頁」時,AI立即指出網域名稱錯誤,提示關閉假登入網頁,並建議直接在瀏覽器輸入官方網址,或使用官方的應用程式。

在測試釣魚電郵時也得到正面的結果,AI在開始的描述訊息時指出詐騙,並發出可疑電郵的警告,最好是不要打開任何附件或點擊任何連結,應該手動瀏覽官方網站或應用程式,又或者致電官方網站上列出的電話號碼。除了識別網絡威脅,Be My AI還是瀏覽網上商店、銀行應用程式和數碼服務的助手:

  • 閱讀描述、名稱、價錢,即使商店網站或應用程式不支付螢幕閱讀或大字體。
  • 註冊訂閱或開設銀行帳號時,仔細閱讀隱晦難懂的條款,它們通常字體極小或螢幕閱讀器無法讀取。
  • 直接從產品卡片或說明書中找出關鍵訊息

倚賴Be My AI的風險

AI最常見問題是幻覺,語言模型會扭曲文字、省略重要細節或憑空編造詞語,在網絡安全方面,AI對惡意網站或電郵的盲目信任相當危險,而且AI對提示注入攻擊沒有免疫,騙徒藉此欺騙AI代理,而不僅限於Be My AI。即使AI通過了測試,但仍不能毫無質疑地倚賴,因為並不保證每次都正確,對於視障人士而言它們是唯一可用的眼睛,所以特別重要。

在每次回覆結束後,Be My AI都建議仍有疑問可詢問義工,然而當試圖識別假網頁時,我們並不建議這樣做,因為無法確定義工的技術水平或可信度,另外,也可能意外洩露敏感資訊,例如電郵地址或密碼,在與陌生人連線前,確保他們不會看到螢幕上的機密資訊,較好的做法是使用應用程式的專屬功能,創立一個包含家人、朋友或信任聯絡人的個人群組,可確保視像通話是真正認識的人,而不是隨機義工。

為何安全,我們建議在裝置上安裝可靠的保安工具,可封鎖釣魚和防止訪問惡意網站,又或者使用密碼管理工具,它們只會在合法已記錄的網站自動填寫登入憑證,所以不會被偽裝域名所愚弄。

Be My AI如何處理和儲存用戶資料

根據Be My Eyes的私隱條款,與義工的視訊通話可能被記錄和儲存以提供服務,確保安全、執行服務條款和改善產品。在使用Be My AI時,圖像和文字指令會發送到OpenAI去產生回應,這些資料會被位於美國的伺服器所處理,OpenAI只會用它來滿足用戶的特定請求,條款表明用戶圖像和查詢不會被用作AI模型的訓練。

照片和影片在傳輸和儲存的過程中都經過加密,公司也採取措施除去敏感資訊,不過除非用戶要求刪除,否則視訊通話錄像可能無限期保存,在這情況下通常在30天內清除。Be My AI的互動資料最多保存30天,除非在應用程式內手動刪除,如果決定關閉帳號,個人資料可能保留最多90天,用戶可隨時選擇退出資料共享,或聯絡Be My Eyes支援團隊請求刪除現有資料。

如何安全使用Be My Eyes

  • 使用Be My AI對可疑電郵或網頁進行初步篩選,但不要視之為唯一可靠資訊來源,專業保安軟件在辨別和消險威脅較為出色。
  • 如果網站、電郵或訊息感到不對勁,不要碰任何連或附件,手動在瀏覽器輸入官方網址,或打開官方應用程式核車資料。
  • 謹記義工看見鏡頭前的情況,確保它沒有拍到不應該拍的內容,例如保險箱密碼、打開的護照,避免分享名字、展示相貌或表露太多周圍景色。
  • 待在核心圈內,創立一個朋友和家人的群組,確保視訊通話是與認識的人進行,而非隨機義工。
  • 不要使用Be My AI閱讀含機密資料的文件,圖像和文字指令都會被送到OpenAI進行處理。
  • 刪除不再需要的對話,否則會被保留30天。
  • 如需閱讀個人資料或機密,考慮含即時閱讀功能的應用程式,它們會在本機處理資料而不會發送到雲端。

資料來源:Kaspersky Blog

Related Posts

You might also like

如何減輕CISO及其團隊工作量

Trojan Source:隱形在源代碼的惡意編碼