源代碼的重要性?
近日有報導指有大型手機品牌被黑客偷竊了大量數據,其中包括源代碼及生物識別解鎖算法。究竟,什麼是源代碼?什麼是生物識別解鎖算法?這些資料又對我們有什麼莫大關係?
試想一下,黑客能夠進入內部偷取資料,但卻不進行任何勒索或偷取個人數據,反而是偷取源代碼,可想而知源代碼有一定的吸引力。源代碼一般是指計算機可以識別的代碼。透過源代碼編成的指令,手機才懂得思考,分析及運作。手機源代碼大致可以分成兩類,第一類是手機原廠家開放的源代碼,用以啟動手機的核心程序,如系統運作及身份認證,第二類是第三方開發的源代碼,用以增加手機的功能,如手機軟件。
手機原廠家開放的源代碼一般安裝在特定的環境中,我們會把這個環境稱為信任區(TrustZone),而我們若要運作這種源代碼,必須要有特定權限,就像系統的root / administrator right。手機安全系統的源代碼被盜就等於他們能繞過操作系統去作不同的運作。而生物識別解鎖算法則是一種方程式,透過生物特徵如:指紋和人臉來啟動不同的功能,如硬件加密、二進制加密和訪問控制。
簡單來說,得到了源代碼,就差不多是等於得了公司的命脈,最直接是競爭對手可以完全了解到作業系統的所有資料,不論優點,弱點,甚至可能專利技術的源代碼。而生物識別解鎖算法被盜的話,問題可更大,假若手機被盜取,便可輕易破解手機。
如果黑客從不正當的途徑盜取了源代碼,他們就像一個擁有特權身份的人士, 有方法跳過手機的正常運作,去偷竊超越權限的資料,和修改原先不能修改的資料,更甚的是,能夠修改手機上的運作邏輯。若擁有生物識別解鎖算法,就可以變了另一個身份,並可以透過這個假身份,執行這個身份可處理的事務,如:網上銀行等等。
時代不斷進步,大家也許都聽過智能家居,例如在炎炎夏日可以透過手機遙距控制家中的冷氣機,這無疑是提供了一個優質環境生活的好良方!但從壞的別處去想,假若手機不幸被人破解,陌生人不但可以透過源代碼和生物識別解鎖算法控制手機的運作,甚至能控制我們身邊的電子產品從而偷取更多個人資料。因此大家選購不同電子產品的時候,也應該去了解一下到底多少個人數據會運用於在其中,然後再去留意多一點相關產品的安全性。產品存在漏洞也許不能100%避免,但仍可預先了解產品的一些解決方案。
如果大家想知道更多網絡安全的資訊及最新趨勢,歡迎加入由政府資訊科技總監辦公室和香港互聯網註冊管理有限公司合作營運的「網絡安全資訊共享夥伴計劃」(Cybersec Infohub)。大家可以透過Cybersec Infohub的協作平台,獲取資訊保安心得、專家見解、每日保安快訊及由專家解答企業提出的網絡保安問題,令企業更有效地防禦網絡攻擊。
如企業有興趣登記爲Cybersec Infohub成員,請瀏覽:https://www.cybersechub.hk/tc/register
