第一章、 緒論
第五節、 研究動機與目的
國
立 政 治 大 學
‧
Na tiona
l Ch engchi University
最後,有關使用者研究的結果表示(Kelley et al., 2012),使用者誤以為 Android Market 中的應用程序是經過安全分析的,且大多數用戶沒有意識到的應用程式的 安全測試機制存在。
第五節、研究動機與目的
2014 年是手機病毒軟體十週年。在 2004 年,研究人員發現第一個手機蠕蟲 病毒 SymbOS.Cabir,它通過藍牙傳播且針對當時最普遍的手機系統 SymbianOS 攻 擊。如今,有許多應用程序都包含惡意病毒。直到 2014 年,Symantec 已經確定有 超過 100 萬個應用程序被列為惡意的軟體。除此之外,也有多達 230 萬個“灰色軟 體”的應用程序,雖然不是技術上的惡意軟體,但也有不良行為,如用廣告轟炸使 用者。
圖五、2012-2014 年手機病毒種類量
資料來源:資料來源:2015 年 Symantec 互聯網安全威脅報告
雖然惡意軟體的數量下降,但並不表示問題的消失,只是創新的速度正在放 緩。這個現象可能代表現有的惡意軟體已經足夠,目前創新的軟體需求較少。此 外,整體趨勢掩蓋顯著每個月的波動。趨勢的下降也表示,開發者正在最大化每 種手機病毒種類的數量,例如,重新包裝知名的遊戲和惡意應用程序。
‧ 國
立 政 治 大 學
‧
Na tiona
l Ch engchi University
14
Symantec 互聯網安全威脅報告(Internet Security Threat Report, ISTR)指出,
2015 年手機病毒軟體數量持續增加,且越來越針對用戶的金錢相關考量。已經有 51 %的美國成年人網路銀行和 35 %的手機用戶遭受攻擊,這樣的狀況讓病毒軟 體製造者更想利用手機來盜取銀行資料。Android 的病毒軟體可以從銀行截取短訊 與驗證碼,再並轉發給攻擊者。應用程式市場中也有許多看起來像合法的銀行 app,希望能夠誘騙使用者的帳戶詳細資訊。圖為 2011-2014 年 Andriod 手機病毒 的累積量,在 2014 年達到高峰。
圖六、Android 從 2011 年累積手機惡意程式種類 資料來源:2015 年 Symantec 互聯網安全威脅報告
Dagon(2004)提到智慧型手機的病毒軟體危險性,Chang (2013)也提到,惡意軟 體被描述為任何東西只要是惡意的且可以對智慧型手機造成以下傷害:
可以發送訊息至 Premium service SMS numbers 會額外付費,就像打 1-800 個 數字。
將您的個人基本資料傳送給任何人。
在您的手機植入 Bot 殭屍網路,像傀儡一般任人擺佈執行各種惡意行為。
讓別人可以操控手機,恣意打電話或發送短訊。
讓有心人士有把柄讓使用者陷入被綁架或勒索的危機。
誘拐使用者輸入個人財務資訊,例如帳戶號碼、出生年月日和密碼等等。
‧ 國
立 政 治 大 學
‧
Na tiona
l Ch engchi University
若將手機與電腦相連,可能將對手機的破壞全部轉移到電腦。
Symantec(2013) 互聯網安全威脅報告(Internet Security Threat Report, ISTR)指出,手機暴露的各種風險種類當中,32%為竊取資訊、25%為傳統威 脅、15%為追蹤使用者、13%為傳送內容、8%為使裝置清除所有歷史資料、
8%為惱人廣告。
以下為詳細闡述:
- 收集資料:從手機中竊取使用者資料,這是在應用程式中最常見的。大部分會 偷取資料的木馬程式意圖使更多惡意的活動在手機裡運作。竊取的資料不只是 裝置上的資料,還有使用者的資料,範圍包含裝置的原始設定檔資料到銀行的 資料。
- 追縱使用者。另一個最常見的目的是追蹤使用者個人的行為和活動。這樣的風 險使得資料具體侵入使用者的手機。入侵使用者的手機利用蒐集各種不同的通 訊資料,例如簡訊內容、電話紀錄,再把這些內容移轉到另一個電腦或裝置。
有些惡意程式還會記錄電話內容,有些會記錄使用者的 GPS 軌跡,將使用者裝 置的定位都記錄下來。這類的惡意程式也會涉及相機裡的照片隱私。
- 散佈內容。惡意程式散佈內容為第三大類的資訊安全風險。這類有別於前面兩 類資訊安全風險,因為攻擊者或駭客可以直接從中獲利。大多數這類的攻擊會 寄一則訊息給,最終這筆費用會出現在使用者的帳單上。這樣的模式也可能出 在電子郵件病毒繼電器,駭客會根據裝置上記錄的使用者寄送電子郵件。
- 傳統威脅。第四組中含有較多的傳統威脅,如後門和下載者。攻擊者通常這些 端口類型的風險從 PC 到移動設備。
- 更改設置。最後,還有小部分的風險是針對配置進行更改。提升裝置的權限或 簡單地在操作系統內並修改各種設置。這最後一組的目標是更進一步侵害已受 到攻擊的裝置。
‧ 國
立 政 治 大 學
‧
Na tiona
l Ch engchi University
16
圖七、2012 到 2014 年智慧型手機遭遇的風險分類比例圖 資料來源:資料來源:2015 年 Symantec 互聯網安全威脅報告
Symantec (2015)互聯網安全威脅報告說明網路現代人生活與網路密不可分的 現象,雲端計算和連結性充滿著我們的生活,例如手機可以播放影片、汽車有導 航功能和娛樂系統。而在家中的照明、冷、暖氣也可以從 app 控制。這樣的場景 是令人興奮的,但也有缺點。
2014 年 5 月,美國聯邦調查局在 19 個國家中,逮捕超過 90 個用網路連接的 視訊鏡頭偷窺別人(CNN news, May2014)。同樣,當汽車變得更智慧化,表示有更 多的資訊和蹤跡都可以被收集,使用者也面臨大的風險。研究人員發現,很多車 都非常容易受到駭客攻擊,有些車只需要一台筆記型電腦就被控制(BBC News July, 2013)。
此外,app 會以驚人的比例收集和發送個人身份訊息(Personally Identifiable Information, PII)給程序開發人員。一個 Symantec 進行的調查指出大部分的消費者 擔心 app 的安全性和是否會暴露隱私的風險。然而,其實消費者其實最大的敵人 是自己。許多消費者擔心行動裝置或和個人數據遭竊取,但是是使用者自己將自 己個人數據遺留在裝置中的。事實上,根據調查,有 68%的人願意用個人隱私來 獲得一個免費的 app。使用者認為他們了解他們用自己隱私進行交易的嚴重性,但 是,實際上他們對於一般 app 的規範不甚了解。例如,超過一半的受訪者不知道 手機的應用程式會追蹤他們的位置Symantec (2015)。
‧
的國家級的安全網路環境(Mastsubara, 2012)。Kshetri(2010)在發展中國家研究網路犯罪的結構,提到的嚴重網絡犯罪需 增長率(CAGR)成長 48.58%。市場上主要有 Kaspersky Lab、Symantec、F-Secure 公司、趨勢科技,和 ESET(marketsandmarkets,2011)。
Kay(2012)發現,根據 McAfee 手機安全用戶調查,一般消費者下載六個應 理論上的相關。Roger(1975)提到 PMT 理論(Protection Motivation Literature),例如,
如果一個人不相信抽菸會對健康帶來風險,則心理上對於負面結果的保護機制就 不會啟動。保護機制就像是對於風險的考量,PMT 理論也在建立家庭電腦的防火
‧ 國
立 政 治 大 學
‧
Na tiona
l Ch engchi University
18
牆行為(Woon et al. 2005),安全相關行為(Lee and Larsen, 2009)和安全性考量(Pahnila et al.2007)的研究中被證實。當一般人感受到越大且越相關的風險時,會越有可能 對於風險採取行動(Lee and Larsen, 2009; Liang and Xue 2009; Pahmila et al. 2007;
Witte 1992; Woon et al.2005)。在 Fareena(2009)研究中指出,該研究中的風險接受程 度指的受訪者願意在虛擬環境中提供個人訊息的可能性,例如網站上。研究表示,
建立消費者和行銷人員的信任,且讓消費者對於自己在網路上公開的個人訊息有 更大的控制力,會降低隱私問題(Malhotra, Kim and Agarwal, 2004; Milne, Rohm and Bahl, 2004; Urban, Sultan and Qualls, 2000)。儘管關於行動裝置隱私的議題在產業 與消費者議題不少,卻很少有智慧型手機或移動裝置平台中,有關於風險接受與 風險忍受程度與手機行銷相關的實證研究。
本研究將是第一個試圖澄清風險感知與風險忍受度和安裝手機防毒軟體動機 的研究。本研究的目標包括以下內容:
- 研究用戶的感知風險對於在智慧型手機上安裝防毒軟體意圖的影響 - 研究用戶的風險忍受力對於在智慧型手機上安裝防毒軟體意圖的影響 - 研究感知風險的限制作用,在風險忍受力對於在智慧型手機上安裝防毒軟
體意圖的影響關係
- 研究風險忍受力的限制作用,在感知風險對於在智慧型手機上安裝防毒軟 體意圖的影響關係
‧ 國
立 政 治 大 學
‧
Na tiona
l Ch engchi University