瑞士研究人员警告，苹果App Store的安全筛检措施松弛和设计上的瑕疵，使iPhone使用者面临可能下载到恶意软件的风险，导致个人资料被窃取并遭到监听。

　　瑞士应用科学大学(HEIG-VD)软件工程师Nicolas Seriot指出，苹果的iPhone应用程序审查过程不够严谨，不足以防止恶意软件的散布。一旦这些软件被下载，就可不受拘束地访问各式各样的个人私密资料，包括使用者用的设备、所在地点、从事的活动、兴趣、朋友等。  　　　　在黑帽(Black Hat DC)安全会议上，Seriot说，有的软件看似无害，却可能用来收集个人资料，并传送到远端的服务器，而使用者却浑然不知。  　　　　他指出，这类恶意程序可能隐含在游戏软件或其他看似无害的软件中，然后暗自收集包括电话号码、通讯录资料，以及可能存储在Address Book笔记区的银行帐户和其他私密资料。  　　　　Seriot在谈论此主题的白皮书上写道：“结果，整个通讯录都可能在使用者不知情和未同意的情况下遭人读取。”  　　　　此外，一种sandboxing技术虽可限制访问其他应用程序的资料，却让iPhone档案系统的资料曝光，包括某些个人资料在内。  　　　　为证明他的论点，Seriot写了一个开放源代码的概念验证间谍软件，称为SpyPhone，可访问最近20笔Safari搜索、YouTube视频播放纪录、电子邮件帐户资料如使用者名称、电邮地址、主机(host)、登录(login)等，以及iPhone本身的详细资料，可能被黑客用来追踪使用者，甚至手机换了也可能继续追踪。  　　　　SpyPhone可用来追踪使用者的行踪与活动。它也可访问记录键盘输入字元的快取记忆(keyboard cache)，凡是在密码输入栏以外键入的字元都一网打尽，俨然可当作键盘侧录程序（keylogger）来用。它还可存取相片，而相片上可能标明日期，用GPS座标还可查出地点。另可访问一项显示手机Wi-Fi连线状况的记录文档。  　　　　Seriot说：“Safari最近的搜索、YouTube纪录以及你的键盘快取，透露出你目前的兴趣何在。这些兴趣与你的姓名和电子邮件地址、电话号码、所在地区连结。一旦收集到大量的使用者资料，这些资料在个人资料黑市就具有庞大的价值。必须提防木马程序正伺机渗透进App Store。”

SpyPhone软件所抓出来的日期与含有地理标示的图片（左），以及地图显示座标、以及软件所能访问得到的资料类型

　　苹果App Store的核准过程主要是检查使用者界面的兼容性，以及来路不明的function call和恶意软件。但Seriot指出，每周上传的程序多达一万个，必须逐一审核，势必会有一些恶意程序闯关成功。  　　　　这种威胁绝不是凭空想像，而是有凭有据的。先前已有几款iPhone程序被发现在收集使用者资料后，就被App Store下架。另有一款称为Aurora Feint的游戏，把使用者通讯录都上传至开发者的服务器。瑞士道路交通资讯软件MogoRoad的业务员，甚至打电话给曾经下载该应用程序的消费者。  　　　　Seriot建议使用者定期清除浏览器的最新搜索纪录，以及设定环境(Settings)里的键盘快取，并修改或删除公开的电话号码。银行、律师、执法等负有保护个资法律责任者，更必须避免执行未受信赖的应用程序。 　　

　　推荐阅读

　　IDC:iPhone销量去年增80% 仍不及RIM屈居第三

[db:内容简介]>>>详细阅读

本文标题：苹果App Store审查不严谨 提防恶意iPhone软件

地址：http://www.lgo100.com/a/apple/2013-07-05/279300.html

 1/2    1  2 下一页