谨防恶意软件通过 APP Store 入侵你的iPhone

核心提示：瑞士研究人员警告，苹果App Store的安全筛检措施松弛和设计上的瑕疵，谨防恶意软件通过 APP Store 入侵你的iPhone，使iPhone使用者面临可能下载到恶意软件的风险，导致个人资料被窃取并遭到监听，一旦收集到大量的使用者资料，这些资料在个人资料黑市就具有庞大的价值，瑞士应用科学大学(HEIG-VD)软件

瑞士研究人员警告，苹果App Store的安全筛检措施松弛和设计上的瑕疵，使iPhone使用者面临可能下载到恶意软件的风险，导致个人资料被窃取并遭到监听。

瑞士应用科学大学(HEIG-VD)软件工程师Nicolas Seriot指出，苹果的iPhone应用程序审查过程不够严谨，不足以防止恶意软件的散布。一旦这些软件被下载，就可不受拘束地访问各式各样的个人私密资料，包括使用者用的设备、所在地点、从事的活动、兴趣、朋友等。

在黑帽(Black Hat DC)安全会议上，Seriot说，有的软件看似无害，却可能用来收集个人资料，并传送到远端的服务器，而使用者却浑然不知。

他指出，这类恶意程序可能隐含在游戏软件或其他看似无害的软件中，然后暗自收集包括电话号码、通讯录资料，以及可能存储在Address Book笔记区的银行帐户和其他私密资料。

Seriot在谈论此主题的白皮书上写道：“结果，整个通讯录都可能在使用者不知情和未同意的情况下遭人读取。”

此外，一种sandboxing技术虽可限制访问其他应用程序的资料，却让iPhone档案系统的资料曝光，包括某些个人资料在内。

为证明他的论点，Seriot写了一个开放源代码的概念验证间谍软件，称为SpyPhone，可访问最近20笔Safari搜索、YouTube视频播放纪录、电子邮件帐户资料如使用者名称、电邮地址、主机(host)、登录(login)等，以及iPhone本身的详细资料，可能被黑客用来追踪使用者，甚至手机换了也可能继续追踪。

SpyPhone可用来追踪使用者的行踪与活动。它也可访问记录键盘输入字元的快取记忆(keyboard cache)，凡是在密码输入栏以外键入的字元都一网打尽，俨然可当作键盘侧录程序(keylogger)来用。它还可存取相片，而相片上可能标明日期，用GPS座标还可查出地点。另可访问一项显示手机Wi-Fi连线状况的记录文档。

Seriot说：“Safari最近的搜索、YouTube纪录以及你的键盘快取，透露出你目前的兴趣何在。这些兴趣与你的姓名和电子邮件地址、电话号码、所在地区连结。一旦收集到大量的使用者资料，这些资料在个人资料黑市就具有庞大的价值。必须提防木马程序正伺机渗透进App Store。”