瑞士研究人員警告，蘋果App Store的安全篩檢措施松弛和設(shè)計(jì)上的瑕疵，使iPhone使用者面臨可能下載到惡意軟件的風(fēng)險，導(dǎo)致個人資料被竊取并遭到監(jiān)聽。

　　瑞士應(yīng)用科學(xué)大學(xué)(HEIG-VD)軟件工程師Nicolas Seriot指出，蘋果的iPhone應(yīng)用程序?qū)彶檫^程不夠嚴(yán)謹(jǐn)，不足以防止惡意軟件的散布。一旦這些軟件被下載，就可不受拘束地訪問各式各樣的個人私密資料，包括使用者用的設(shè)備、所在地點(diǎn)、從事的活動、興趣、朋友等。  　　　　在黑帽(Black Hat DC)安全會議上，Seriot說，有的軟件看似無害，卻可能用來收集個人資料，并傳送到遠(yuǎn)端的服務(wù)器，而使用者卻渾然不知。  　　　　他指出，這類惡意程序可能隱含在游戲軟件或其他看似無害的軟件中，然后暗自收集包括電話號碼、通訊錄資料，以及可能存儲在Address Book筆記區(qū)的銀行帳戶和其他私密資料。  　　　　Seriot在談?wù)摯酥黝}的白皮書上寫道：“結(jié)果，整個通訊錄都可能在使用者不知情和未同意的情況下遭人讀取。”  　　　　此外，一種sandboxing技術(shù)雖可限制訪問其他應(yīng)用程序的資料，卻讓iPhone檔案系統(tǒng)的資料曝光，包括某些個人資料在內(nèi)。  　　　　為證明他的論點(diǎn)，Seriot寫了一個開放源代碼的概念驗(yàn)證間諜軟件，稱為SpyPhone，可訪問最近20筆Safari搜索、YouTube視頻播放紀(jì)錄、電子郵件帳戶資料如使用者名稱、電郵地址、主機(jī)(host)、登錄(login)等，以及iPhone本身的詳細(xì)資料，可能被黑客用來追蹤使用者，甚至手機(jī)換了也可能繼續(xù)追蹤。  　　　　SpyPhone可用來追蹤使用者的行蹤與活動。它也可訪問記錄鍵盤輸入字元的快取記憶(keyboard cache)，凡是在密碼輸入欄以外鍵入的字元都一網(wǎng)打盡，儼然可當(dāng)作鍵盤側(cè)錄程序（keylogger）來用。它還可存取相片，而相片上可能標(biāo)明日期，用GPS座標(biāo)還可查出地點(diǎn)。另可訪問一項(xiàng)顯示手機(jī)Wi-Fi連線狀況的記錄文檔。  　　　　Seriot說：“Safari最近的搜索、YouTube紀(jì)錄以及你的鍵盤快取，透露出你目前的興趣何在。這些興趣與你的姓名和電子郵件地址、電話號碼、所在地區(qū)連結(jié)。一旦收集到大量的使用者資料，這些資料在個人資料黑市就具有龐大的價值。必須提防木馬程序正伺機(jī)滲透進(jìn)App Store�！�

SpyPhone軟件所抓出來的日期與含有地理標(biāo)示的圖片（左），以及地圖顯示座標(biāo)、以及軟件所能訪問得到的資料類型

　　蘋果App Store的核準(zhǔn)過程主要是檢查使用者界面的兼容性，以及來路不明的function call和惡意軟件。但Seriot指出，每周上傳的程序多達(dá)一萬個，必須逐一審核，勢必會有一些惡意程序闖關(guān)成功。  　　　　這種威脅絕不是憑空想像，而是有憑有據(jù)的。先前已有幾款iPhone程序被發(fā)現(xiàn)在收集使用者資料后，就被App Store下架。另有一款稱為Aurora Feint的游戲，把使用者通訊錄都上傳至開發(fā)者的服務(wù)器。瑞士道路交通資訊軟件MogoRoad的業(yè)務(wù)員，甚至打電話給曾經(jīng)下載該應(yīng)用程序的消費(fèi)者。  　　　　Seriot建議使用者定期清除瀏覽器的最新搜索紀(jì)錄，以及設(shè)定環(huán)境(Settings)里的鍵盤快取，并修改或刪除公開的電話號碼。銀行、律師、執(zhí)法等負(fù)有保護(hù)個資法律責(zé)任者，更必須避免執(zhí)行未受信賴的應(yīng)用程序。 　　

　　推薦閱讀

　　IDC:iPhone銷量去年增80% 仍不及RIM屈居第三

[db:內(nèi)容簡介]>>>詳細(xì)閱讀

本文標(biāo)題：蘋果App Store審查不嚴(yán)謹(jǐn) 提防惡意iPhone軟件

地址：http://www.sdlzkt.com/a/apple/2013-07-05/279300.html

 1/2    1  2 下一頁