阿碼外傳-阿碼科技非官方中文 Blog: 2011年3月9日

2011年3月9日

上網安全之Active X (Surfing Secure for Active X)

當心遭惡意利用 Active X 元件軟體。

這問題經常發生於早期首頁綁架、彈出式廣告視窗...等,瀏覽器異常狀況的問題起因。

Active X 是 IE 瀏覽器上,很特別的一個功能,也僅能在 IE 瀏覽器上使用,其他瀏覽器如 FireFox、Chrome 等,並未支援 Active X 功能。首先,你一定得要先看看微軟對 Active X 的說明:「在電腦上安裝 ActiveX 控制項是否安全?」
網址為:http://www.microsoft.com/taiwan/protect/yourself/downloads/activex.mspx

Active X 翻譯中文,很多人用「附加元件」的名稱,但要注意,FireFox 也有所謂的「附加元件」,不過英文是「Add-on」,其兩者功能與作用上很類似,但實際上是不一樣的,所以,還是以英文來稱呼,比較不容易搞混。至於 Chrome 也有類似的功能,稱為「Google Chrome Extensions (Google 瀏覽器擴充功能)」。這些所謂的套件或元件並不能跨瀏覽器使用的,目前 FireFox 與 Chrome 的附加元件或擴充功能,有進行一些機制的控管,但是也要注意使用到惡意的附加元件或擴充功能,導致瀏覽器的異常。建議由下列網址抓取附加元件或擴充功能會比較安全:
FireFox:https://addons.mozilla.org/
Chrome:https://chrome.google.com/extensions
至於,Active X 就沒有統一的管控機制,因此也比較容易被利用,這也是對此特別說明的原因。

Active X 出現畫面:

有些比較舊的 IE 版本有可能出現畫面:

尤其是後面這個畫面也有很多瀏覽者有網路誤解,以為可以提高瀏覽的安全性,所以閉著眼睛點擊,這是不對的;話又說回來,這畫面跟 Active X 看起來一點關係也沒有,難怪使用者會誤會。若出現上面兩張圖,它代表「目前瀏覽的網站,要在瀏覽器(IE)上安裝附加元件,你是否同意?」,這個動作有相當程度的危險性。

早期很多惡意程式都會利用 Active X 方式,安裝到使用者的電腦中,導致首頁被綁架或不斷跳出廣告視窗…等,都是因為這個原因。來看一下一個有問題的「安全性警告」:

所以,哪時該點「是」?哪時又該點「否」呢?很重要的一個觀念:「你是否信任目前瀏覽的網站,如果有疑慮避免點擊是或同意的選項」。以目前來說,瀏覽網際網路很多時候取決於你是否信任該網站,很多端點防護軟體或資安設備都類似這樣的觀念在運作,像「網站信譽評等軟體(Web Reputation Services-WRS)」的運作就幾乎一樣,而這將會是你在上網警覺性上,很重要的一個基礎觀念。

假設,你目前正在瀏覽網路銀行或 WebATM 網頁,這些網站的運作也都會使用到 Active X 元件,在確認你瀏覽的網站確實是銀行的網址,並非釣魚網頁後,也都安裝Active X 元件才能正常使用網路銀行或 WebATM 功能。

假設,你正在瀏覽賭博或色情網站,網頁出現需要安裝 Active X 元件,這時,你還進行安裝動作,這時,你的風險相對增加很多,很可能就安裝了惡意的元件,導致瀏覽器的異常發生。

對於各瀏覽器的「附加元件」,網友都要小心安裝使用,這就跟目前很流行的 APP 概念(iPhone的APP、Fackbook 的APP)類似,要是不小心使用遭惡意利用的 APP 哪就麻煩了。

完整文章亦投稿於「資安人雜誌,2010. Jan/Feb. No.73,你的上網行為安全嗎?」。
本文也張貼於「資安之我見」。

繼續閱讀全文...