瑞士研究人員警告,蘋果App Store的安全篩檢措施松弛和設(shè)計(jì)上的瑕疵,使iPhone使用者面臨可能下載到惡意軟件的風(fēng)險(xiǎn),導(dǎo)致個(gè)人資料被竊取并遭到監(jiān)聽。
瑞士應(yīng)用科學(xué)大學(xué)(HEIG-VD)軟件工程師Nicolas Seriot指出,蘋果的iPhone應(yīng)用程序?qū)彶檫^程不夠嚴(yán)謹(jǐn),不足以防止惡意軟件的散布。一旦這些軟件被下載,就可不受拘束地訪問各式各樣的個(gè)人私密資料,包括使用者用的設(shè)備、所在地點(diǎn)、從事的活動(dòng)、興趣、朋友等。 在黑帽(Black Hat DC)安全會(huì)議上,Seriot說,有的軟件看似無害,卻可能用來收集個(gè)人資料,并傳送到遠(yuǎn)端的服務(wù)器,而使用者卻渾然不知。 他指出,這類惡意程序可能隱含在游戲軟件或其他看似無害的軟件中,然后暗自收集包括電話號(hào)碼、通訊錄資料,以及可能存儲(chǔ)在Address Book筆記區(qū)的銀行帳戶和其他私密資料。 Seriot在談?wù)摯酥黝}的白皮書上寫道:“結(jié)果,整個(gè)通訊錄都可能在使用者不知情和未同意的情況下遭人讀取。” 此外,一種sandboxing技術(shù)雖可限制訪問其他應(yīng)用程序的資料,卻讓iPhone檔案系統(tǒng)的資料曝光,包括某些個(gè)人資料在內(nèi)。 為證明他的論點(diǎn),Seriot寫了一個(gè)開放源代碼的概念驗(yàn)證間諜軟件,稱為SpyPhone,可訪問最近20筆Safari搜索、YouTube視頻播放紀(jì)錄、電子郵件帳戶資料如使用者名稱、電郵地址、主機(jī)(host)、登錄(login)等,以及iPhone本身的詳細(xì)資料,可能被黑客用來追蹤使用者,甚至手機(jī)換了也可能繼續(xù)追蹤。 SpyPhone可用來追蹤使用者的行蹤與活動(dòng)。它也可訪問記錄鍵盤輸入字元的快取記憶(keyboard cache),凡是在密碼輸入欄以外鍵入的字元都一網(wǎng)打盡,儼然可當(dāng)作鍵盤側(cè)錄程序(keylogger)來用。它還可存取相片,而相片上可能標(biāo)明日期,用GPS座標(biāo)還可查出地點(diǎn)。另可訪問一項(xiàng)顯示手機(jī)Wi-Fi連線狀況的記錄文檔。 Seriot說:“Safari最近的搜索、YouTube紀(jì)錄以及你的鍵盤快取,透露出你目前的興趣何在。這些興趣與你的姓名和電子郵件地址、電話號(hào)碼、所在地區(qū)連結(jié)。一旦收集到大量的使用者資料,這些資料在個(gè)人資料黑市就具有龐大的價(jià)值。必須提防木馬程序正伺機(jī)滲透進(jìn)App Store。”
SpyPhone軟件所抓出來的日期與含有地理標(biāo)示的圖片(左),以及地圖顯示座標(biāo)、以及軟件所能訪問得到的資料類型
蘋果App Store的核準(zhǔn)過程主要是檢查使用者界面的兼容性,以及來路不明的function call和惡意軟件。但Seriot指出,每周上傳的程序多達(dá)一萬個(gè),必須逐一審核,勢(shì)必會(huì)有一些惡意程序闖關(guān)成功。 這種威脅絕不是憑空想像,而是有憑有據(jù)的。先前已有幾款iPhone程序被發(fā)現(xiàn)在收集使用者資料后,就被App Store下架。另有一款稱為Aurora Feint的游戲,把使用者通訊錄都上傳至開發(fā)者的服務(wù)器。瑞士道路交通資訊軟件MogoRoad的業(yè)務(wù)員,甚至打電話給曾經(jīng)下載該應(yīng)用程序的消費(fèi)者。 Seriot建議使用者定期清除瀏覽器的最新搜索紀(jì)錄,以及設(shè)定環(huán)境(Settings)里的鍵盤快取,并修改或刪除公開的電話號(hào)碼。銀行、律師、執(zhí)法等負(fù)有保護(hù)個(gè)資法律責(zé)任者,更必須避免執(zhí)行未受信賴的應(yīng)用程序。
推薦閱讀
[db:內(nèi)容簡介]>>>詳細(xì)閱讀
本文標(biāo)題:蘋果App Store審查不嚴(yán)謹(jǐn) 提防惡意iPhone軟件
地址:http://www.sdlzkt.com/a/apple/2013-07-05/279300.html
網(wǎng)友點(diǎn)評(píng)
精彩導(dǎo)讀
科技快報(bào)
品牌展示