源代码的重要性?
近日有报导指有大型手机品牌被黑客偷窃了大量数据,其中包括源代码及生物识别解锁算法。究竟,什么是源代码?什么是生物识别解锁算法?这些资料又对我们有什么莫大关系?
试想一下,黑客能够进入内部偷取资料,但却不进行任何勒索或偷取个人数据,反而是偷取源代码,可想而知源代码有一定的吸引力。源代码一般是指计算机可以识别的代码。透过源代码编成的指令,手机才懂得思考,分析及运作。手机源代码大致可以分成两类,第一类是手机原厂家开放的源代码,用以启动手机的核心程序,如系统运作及身份认证,第二类是第三方开发的源代码,用以增加手机的功能,如手机软件。
手机原厂家开放的源代码一般安装在特定的环境中,我们会把这个环境称为信任区(TrustZone),而我们若要运作这种源代码,必须要有特定权限,就像系统的root / administrator right。手机安全系统的源代码被盗就等于他们能绕过操作系统去作不同的运作。而生物识别解锁算法则是一种方程式,透过生物特征如:指纹和人脸来启动不同的功能,如硬件加密、二进制加密和访问控制。
简单来说,得到了源代码,就差不多是等于得了公司的命脉,最直接是竞争对手可以完全了解到作业系统的所有资料,不论优点,弱点,甚至可能专利技术的源代码。而生物识别解锁算法被盗的话,问题可更大,假若手机被盗取,便可轻易破解手机。
如果黑客从不正当的途径盗取了源代码,他们就像一个拥有特权身份的人士, 有方法跳过手机的正常运作,去偷窃超越权限的资料,和修改原先不能修改的资料,更甚的是,能够修改手机上的运作逻辑。若拥有生物识别解锁算法,就可以变了另一个身份,并可以透过这个假身份,执行这个身份可处理的事务,如:网上银行等等。
时代不断进步,大家也许都听过智能家居,例如在炎炎夏日可以透过手机遥距控制家中的冷气机,这无疑是提供了一个优质环境生活的好良方!但从坏的别处去想,假若手机不幸被人破解,陌生人不但可以透过源代码和生物识别解锁算法控制手机的运作,甚至能控制我们身边的电子产品从而偷取更多个人资料。因此大家选购不同电子产品的时候,也应该去了解一下到底多少个人数据会运用于在其中,然后再去留意多一点相关产品的安全性。产品存在漏洞也许不能100%避免,但仍可预先了解产品的一些解决方案。
如果大家想知道更多网络安全的资讯及最新趋势,欢迎加入由政府资讯科技总监办公室和香港互联网注册管理有限公司合作营运的「网络安全资讯共享伙伴计划」(Cybersec Infohub)。大家可以透过Cybersec Infohub的协作平台,获取资讯保安心得、专家见解、每日保安快讯及由专家解答企业提出的网络保安问题,令企业更有效地防御网络攻击。
如企业有兴趣登记为Cybersec Infohub成员,请浏览:https://www.cybersechub.hk/tc/register
