谨防恶意软件通过 APP Store 入侵你的iPhone
2010-02-09 02:12:00 来源:WEB开发网瑞士研究人员警告,苹果App Store的安全筛检措施松弛和设计上的瑕疵,使iPhone使用者面临可能下载到恶意软件的风险,导致个人资料被窃取并遭到监听。
瑞士应用科学大学(HEIG-VD)软件工程师Nicolas Seriot指出,苹果的iPhone应用程序审查过程不够严谨,不足以防止恶意软件的散布。一旦这些软件被下载,就可不受拘束地访问各式各样的个人私密资料,包括使用者用的设备、所在地点、从事的活动、兴趣、朋友等。
在黑帽(Black Hat DC)安全会议上,Seriot说,有的软件看似无害,却可能用来收集个人资料,并传送到远端的服务器,而使用者却浑然不知。
他指出,这类恶意程序可能隐含在游戏软件或其他看似无害的软件中,然后暗自收集包括电话号码、通讯录资料,以及可能存储在Address Book笔记区的银行帐户和其他私密资料。
Seriot在谈论此主题的白皮书上写道:“结果,整个通讯录都可能在使用者不知情和未同意的情况下遭人读取。”
此外,一种sandboxing技术虽可限制访问其他应用程序的资料,却让iPhone档案系统的资料曝光,包括某些个人资料在内。
为证明他的论点,Seriot写了一个开放源代码的概念验证间谍软件,称为SpyPhone,可访问最近20笔Safari搜索、YouTube视频播放纪录、电子邮件帐户资料如使用者名称、电邮地址、主机(host)、登录(login)等,以及iPhone本身的详细资料,可能被黑客用来追踪使用者,甚至手机换了也可能继续追踪。
SpyPhone可用来追踪使用者的行踪与活动。它也可访问记录键盘输入字元的快取记忆(keyboard cache),凡是在密码输入栏以外键入的字元都一网打尽,俨然可当作键盘侧录程序(keylogger)来用。它还可存取相片,而相片上可能标明日期,用GPS座标还可查出地点。另可访问一项显示手机Wi-Fi连线状况的记录文档。
Seriot说:“Safari最近的搜索、YouTube纪录以及你的键盘快取,透露出你目前的兴趣何在。这些兴趣与你的姓名和电子邮件地址、电话号码、所在地区连结。一旦收集到大量的使用者资料,这些资料在个人资料黑市就具有庞大的价值。必须提防木马程序正伺机渗透进App Store。”
更多精彩
赞助商链接