9款Android App 被發現會竊取用戶的Facebook密碼

外媒《arstechnica》報導，有 9 款在 Google Play Store 的 Android App 會竊取使用者 Facebook 的登入訊息和密碼，其中影響範圍最大的是下載量超過 580 萬次的「PIP Photo」。幸好如今 Google 已經將這幾個程式從 Google Play 刪除。

發現這幾款 Android App 會盜取 Facebook 登入訊息與密碼的是資安公司 Dr. Web，這些 App 包括照片編輯、取色、運動紀錄、占星、刪除 Android 裝置的垃圾檔案。

這些 App 提供登入 Facebook 帳號來禁止 App 內廣告的選項，選擇登入後使用者會看到真正的 Facebook 登入表單，進而輸入使用者名稱和密碼。

在這之後，使用者們會收到竊取 Facebook 帳號登入和密碼的通知，這時駭客會改變木馬程式的設定並加載另一個合法網頁，同時在釣魚網站偽造的登入網頁。這時，木馬程式就能竊取使用者登入的名稱和密碼。

Dr. Web 資安研究人員發現有問題的 App ，包括：

PIP Photo：下載次數超過 580 萬次

Processing Photo：下載次數超過 50 萬次

Rubbish Cleaner：下載次數超過 10 萬次

Inwell Fitness：下載次數超過 10 萬次

Horoscope Daily：下載次數超過 10 萬次

App Lock Keep：下載次數超過 5 萬次

Lockit Master：下載次數超過 5,000 次

Horoscope Pi：下載次數超過 1,000 次

App Lock Manager：下載次數超過 10 次

慶幸的是，目前這些有問題的 App 都已經遭到 Google 移除，使用者已經無法從 Google Play 下載。

外媒《arstechnica》報導，Google 發言人表示公司除了移除 App 之外，同時針對這 9 款 App 開發者祭出禁止上架新 App 的懲罰。

儘管 Google 禁止開發者上架新 App 的做法是正確的，但對開發者來說這只是一個很小的障礙，因為開發者可以註冊另一個新的帳號，並支付 25 美元就能繼續上架新的 App。

至於對使用者而言，想要保護個資的方式除了刪除有問題的 App 之外，還必須要檢查自己的裝置和 Facebook 帳號，確認是否任何被駭客入侵的痕跡。

圖片及資料來源：arstechnica

《原文刊登於合作媒體三嘻行動哇，聯合新聞網獲授權轉載。》