瑞士研究人员警告,苹果AppStore的安全筛检措施松弛和设计上的瑕疵,使iPhone使用者面临可能下载到恶意软件的风险,导致个人资料被窃取并遭到监听。
530){this.resize=true;this.width = 530;}" src="http://pimg.qihoo.com/qhimg/baike/609_419/14/03/33/1403338q115197.cdb414.jpg"> 瑞士应用科学大学(HEIG-VD)软件工程师NicolasSeriot指出,苹果的iPhone应用程序审查过程不够严谨,不足以防止恶意软件的散布。一旦这些软件被下载,就可不受拘束地访问各式各样的个人私密资料,包括使用者用的设备、所在地点、从事的活动、兴趣、朋友等。
在黑帽(BlackHatDC)安全会议上,Seriot说,有的软件看似无害,却可能用来收集个人资料,并传送到远端的服务器,而使用者却浑然不知。
他指出,这类恶意程序可能隐含在游戏软件或其他看似无害的软件中,然后暗自收集包括电话号码、通讯录资料,以及可能存储在AddressBook笔记区的银行帐户和其他私密资料。
Seriot在谈论此主题的白皮书上写道:“结果,整个通讯录都可能在使用者不知情和未同意的情况下遭人读取。”
此外,一种sandboxing技术虽可限制访问其他应用程序的资料,却让iPhone档案系统的资料曝光,包括某些个人资料在内。
为证明他的论点,Seriot写了一个开放源代码的概念验证间谍软件,称为SpyPhone,可访问最近20笔Safari搜索、YouTube视频播放纪录、电子邮件帐户资料如使用者名称、电邮地址、主机(host)、登录(login)等,以及iPhone本身的详细资料,可能被黑客用来追踪使用者,甚至手机换了也可能继续追踪。
SpyPhone可用来追踪使用者的行踪与活动。它也可访问记录键盘输入字元的快取记忆(keyboardcache),凡是在密码输入栏以外键入的字元都一网打尽,俨然可当作键盘侧录程序(keylogger)来用。它还可存取相片,而相片上可能标明日期,用GPS座标还可查出地点。另可访问一项显示手机Wi-Fi连线状况的记录文档。
Seriot说:“Safari最近的搜索、YouTube纪录以及你的键盘快取,透露出你目前的兴趣何在。这些兴趣与你的姓名和电子邮件地址、电话号码、所在地区连结。一旦收集到大量的使用者资料,这些资料在个人资料黑市就具有庞大的价值。必须提防木马程序正伺机渗透进AppStore。”
530){this.resize=true;this.width = 530;}" src="http://pimg.qihoo.com/qhimg/baike/482_328/1b/01/23/1b01238q11a037.3ef495.jpg"> SpyPhone软件所抓出来的日期与含有地理标示的图片(左),以及地图显示座标、以及软件所能访问得到的资料类型
苹果AppStore的核准过程主要是检查使用者界面的兼容性,以及来路不明的functioncall和恶意软件。但Seriot指出,每周上传的程序多达一万个,必须逐一审核,势必会有一些恶意程序闯关成功。
这种威胁绝不是凭空想像,而是有凭有据的。先前已有几款iPhone程序被发现在收集使用者资料后,就被AppStore下架。另有一款称为AuroraFeint的游戏,把使用者通讯录都上传至开发者的服务器。瑞士道路交通资讯软件MogoRoad的业务员,甚至打电话给曾经下载该应用程序的消费者。
Seriot建议使用者定期清除浏览器的最新搜索纪录,以及设定环境(Settings)里的键盘快取,并修改或删除公开的电话号码。银行、律师、执法官员等负有保护个资法律责任者,更必须避免执行未受信赖的应用程序。
减小字体
增大字体