黑帽駭客大會:Android、iPhone手機資料外洩嚴重

Black Hat USA 2010安全論壇中,行動安全公司Lookout指出,智慧型手機資料外洩風險大過一般用戶想像。

Black Hat USA 2010安全論壇中,行動安全公司Lookout指出,智慧型手機資料外洩風險大過一般用戶想像。

該公司CEO John Hering和CTO Mahaffey展示名為《App Genome專案》的簡報,內容為調查Android及iPhone應用程式處理安全及機密資料的方式。

Lookout所指的不是Android、iPhone手機有弱點,而是開發人員往往忽略第三方程式碼的風險,以及使用者也不了解允許應用存取他們資料的影響性。

例如,一個已有數百萬次下載的Android裝置桌布被發現會將使用者資訊—電話、訂戶識別碼和現有語音郵件電話號碼–傳送到中國大陸的伺服器。

這不見得是惡意程式,也可能是使用者想都沒想過就同意提供這些資訊,但這也突顯出手機暴露資料的風險。

「約有29%的Android應用和33%的iPhone應用程式都可存取使用者地點資訊,」Lookout說。

可存取使用者聯絡人資料的應用程式,iPhone(14%)大約是Android(8%)的兩倍。

大約半數(47%)Android應用包含第三方程式碼,一般是和廣告提供有關,iPhone上的比例為23%。

上周花旗銀行通知美國銀行用戶該公司的Citi Mobile iPhone應用程式包含可能洩露銀行帳戶資料的瑕疵,使第三方程式碼風險更為突顯。

這支應用是由花旗銀行開發人員及mFoundry行動銀行軟體組合而成。雖然該應用不安全程式碼未曝光,但風險無庸置疑。

即使行動應用是由一家公司製作,但卻可能具備不為人知的功能。例如Nick Lee的手電筒程式,表面上是藉由打亮螢幕來模仿手電筒,但卻隱含連網功能,促使蘋果將之從iTunes Store拿下。

Hering 及Mahaffey強調,開發人員開發程式時必須遵循安全最佳作法。「今天開發人員對程式碼並不是完全了解。」

他們指出,一支Android應用會從其他Android應用程式的log 檔讀取到傳送ID。登入資料暴露給不相關的應用並非明智之舉,因此Hering呼籲開發人員不要允許機密資料寫到log檔中。

「標準化API可使攻擊程式碼容易撰寫。你不需要像在桌面端做那麼複雜的事,只要呼叫API就能很輕鬆抓到你要的資料。」Hering說。

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416