研究員籲提防惡意iPhone軟體

留下回應

瑞士研究員警告，蘋果App Store的安全篩檢措施鬆弛和設計上的瑕疵，使iPhone使用者面臨可能下載到惡意軟體的風險，導致個人資料被竊取並遭到監聽。

瑞士應用科學大學(HEIG-VD)軟體工程師Nicolas Seriot指出，蘋果的iPhone應用程式審查過程不夠嚴謹，不足以防止惡意軟體的散布。一旦這些軟體被下載，就可不受拘束地存取各式各樣的個人私密資料，包括使用者用的裝置、所在地點、從事的活動、興趣、朋友等。

周三在黑帽(Black Hat DC)安全會議上，Seriot說，有的軟體看似無害，卻可能用來蒐集個人資料，並傳送到遠端的伺服器，而使用者卻渾然不知。

他指出，這類惡意程式可能隱含在遊戲軟體或其他看似無害的軟體中，然後暗自蒐集包括電話號碼、通訊錄資料，以及可能儲存在Address Book筆記區的銀行帳戶和其他私密資料。

Seriot在談論此主題的白皮書上寫道：「結果，整個通訊錄都可能在使用者不知情和未同意的情況下遭人讀取。」

此外，一種sandboxing技術雖可限制存取其他應用程式的資料，卻讓iPhone檔案系統的資料曝光，包括某些個人資料在內。

為證明他的論點，Seriot寫了一個開放原始碼的概念驗證間諜軟體，稱為「SpyPhone」，可存取最近20筆Safari搜尋、YouTube影片播放紀錄、電子郵件帳戶資料如使用者名稱、電郵地址、主機(host)、登錄(login)等，以及iPhone本身的詳細資料，可能被駭客用來追蹤使用者，甚至手機換了也可能繼續追蹤。

SpyPhone可用來追蹤使用者的行蹤與活動。它也可存取記錄鍵盤輸入字元的快取記憶(keyboard cache)，凡是在密碼輸入欄以外鍵入的字元都一網打盡，儼然可當作鍵盤側錄程式（keylogger）來用。它還可存取相片，而相片上可能標明日期，用GPS座標還可查出地點。另可存取一項顯示手機Wi-Fi連線狀況的記錄檔。

Seriot說：「Safari最近的搜尋、YouTube紀錄以及你的鍵盤快取，透露出你目前的興趣何在。這些興趣與你的姓名和電子郵件地址、電話號碼、所在地區連結。一旦蒐集到大量的使用者資料，這些資料在個人資料黑市就具有龐大的價值。必須提防木馬程式正伺機滲透進App Store。」

SpyPhone軟體所抓出來的日期與含有地理標示的圖片（左），以及地圖顯示座標、以及軟體所能存取得到的資料類型。

蘋果App Store的核准過程主要是檢查使用者介面的相容性，以及來路不明的function call和惡意軟體。但Seriot指出，每周上傳的程式多達一萬個，必須逐一審核，勢必會有一些惡意程式闖關成功。

這種威脅絕不是憑空想像，而是有憑有據的。先前已有幾款iPhone程式被發現在蒐集使用者資料後，就被App Store下架。另有一款稱為Aurora Feint的遊戲，把使用者通訊錄都上傳至開發者的伺服器。瑞士道路交通資訊軟體MogoRoad的業務員，甚至打電話給曾經下載該應用程式的消費者。

Seriot建議使用者定期清除瀏覽器的最新搜尋紀錄，以及設定環境(Settings)裡的鍵盤快取，並修改或刪除公開的電話號碼。銀行、律師、執法官員等負有保護個資法律責任者，更必須避免執行未受信賴的應用程式。(唐慧文譯)