瑞士研究人員警告,蘋果App Store的安全篩檢措施松弛和設計上的瑕疵,使iPhone使用者面臨可能下載到惡意軟件的風險,導致個人資料被竊取并遭到監聽。
瑞士應用科學大學(HEIG-VD)軟件工程師Nicolas Seriot指出,蘋果的iPhone應用程序審查過程不夠嚴謹,不足以防止惡意軟件的散布。一旦這些軟件被下載,就可不受拘束地訪問各式各樣的個人私密資料,包括使用者用的設備、所在地點、從事的活動、興趣、朋友等。 在黑帽(Black Hat DC)安全會議上,Seriot說,有的軟件看似無害,卻可能用來收集個人資料,并傳送到遠端的服務器,而使用者卻渾然不知。 他指出,這類惡意程序可能隱含在游戲軟件或其他看似無害的軟件中,然后暗自收集包括電話號碼、通訊錄資料,以及可能存儲在Address Book筆記區的銀行帳戶和其他私密資料。 Seriot在談論此主題的白皮書上寫道:“結果,整個通訊錄都可能在使用者不知情和未同意的情況下遭人讀取。” 此外,一種sandboxing技術雖可限制訪問其他應用程序的資料,卻讓iPhone檔案系統的資料曝光,包括某些個人資料在內。 為證明他的論點,Seriot寫了一個開放源代碼的概念驗證間諜軟件,稱為SpyPhone,可訪問最近20筆Safari搜索、YouTube視頻播放紀錄、電子郵件帳戶資料如使用者名稱、電郵地址、主機(host)、登錄(login)等,以及iPhone本身的詳細資料,可能被黑客用來追蹤使用者,甚至手機換了也可能繼續追蹤。 SpyPhone可用來追蹤使用者的行蹤與活動。它也可訪問記錄鍵盤輸入字元的快取記憶(keyboard cache),凡是在密碼輸入欄以外鍵入的字元都一網打盡,儼然可當作鍵盤側錄程序(keylogger)來用。它還可存取相片,而相片上可能標明日期,用GPS座標還可查出地點。另可訪問一項顯示手機Wi-Fi連線狀況的記錄文檔。 Seriot說:“Safari最近的搜索、YouTube紀錄以及你的鍵盤快取,透露出你目前的興趣何在。這些興趣與你的姓名和電子郵件地址、電話號碼、所在地區連結。一旦收集到大量的使用者資料,這些資料在個人資料黑市就具有龐大的價值。必須提防木馬程序正伺機滲透進App Store。”
SpyPhone軟件所抓出來的日期與含有地理標示的圖片(左),以及地圖顯示座標、以及軟件所能訪問得到的資料類型
蘋果App Store的核準過程主要是檢查使用者界面的兼容性,以及來路不明的function call和惡意軟件。但Seriot指出,每周上傳的程序多達一萬個,必須逐一審核,勢必會有一些惡意程序闖關成功。 這種威脅絕不是憑空想像,而是有憑有據的。先前已有幾款iPhone程序被發現在收集使用者資料后,就被App Store下架。另有一款稱為Aurora Feint的游戲,把使用者通訊錄都上傳至開發者的服務器。瑞士道路交通資訊軟件MogoRoad的業務員,甚至打電話給曾經下載該應用程序的消費者。 Seriot建議使用者定期清除瀏覽器的最新搜索紀錄,以及設定環境(Settings)里的鍵盤快取,并修改或刪除公開的電話號碼。銀行、律師、執法等負有保護個資法律責任者,更必須避免執行未受信賴的應用程序。
推薦閱讀
[db:內容簡介]>>>詳細閱讀
本文標題:蘋果App Store審查不嚴謹 提防惡意iPhone軟件
地址:http://www.xglongwei.com/a/apple/2013-07-05/279300.html
網友點評
精彩導讀
科技快報
品牌展示