吳明宜
Black Hat USA 2010 安全論壇中,行動安全公司 Lookout 指出,智慧型手機資料外洩風險大過一般用戶想像。
該公司 CEO John Hering 和 CTO Mahaffey 展示名為《App Genome 專案》的簡報,內容為調查 Android 及 iPhone 應用程式處理安全及機密資料的方式。
Lookout 所指的不是 Android 、 iPhone 手機有弱點,而是開發人員往往忽略第三方程式碼的風險,以及使用者也不了解允許應用存取他們資料的影響性。
例如,一個已有數百萬次下載的 Android 裝置桌布被發現會將使用者資訊—電話、訂戶識別碼和現有語音郵件電話號碼– 傳送到中國大陸的伺服器。
這不見得是惡意程式,也可能是使用者想都沒想過就同意提供這些資訊,但這也突顯出手機暴露資料的風險。
「約有 29% 的 Android 應用和 33% 的 iPhone 應用程式都可存取使用者地點資訊,」Lookout 說。
可存取使用者聯絡人資料的應用程式,iPhone(14%)大約是 Android(8%)的兩倍。
大約半數 (47%)Android 應用包含第三方程式碼,一般是和廣告提供有關,iPhone 上的比例為 23% 。
上周花旗銀行通知美國銀行用戶該公司的 Citi Mobile iPhone 應用程式包含可能洩露銀行帳戶資料的瑕疵,使第三方程式碼風險更為突顯。
這支應用是由花旗銀行開發人員及 mFoundry 行動銀行軟體組合而成。雖然該應用不安全程式碼未曝光,但風險無庸置疑。
即使行動應用是由一家公司製作,但卻可能具備不為人知的功能。例如 Nick Lee 的手電筒程式,表面上是藉由打亮螢幕來模仿手電筒,但卻隱含連網功能,促使蘋果將之從 iTunes Store 拿下。
Hering 及 Mahaffey 強調,開發人員開發程式時必須遵循安全最佳作法。「今天開發人員對程式碼並不是完全了解。」
他們指出,一支 Android 應用會從其他 Android 應用程式的 log 檔讀取到傳送 ID 。登入資料暴露給不相關的應用並非明智之舉,因此 Hering 呼籲開發人員不要允許機密資料寫到 log 檔中。
「標準化 API 可使攻擊程式碼容易撰寫。你不需要像在桌面端做那麼複雜的事,只要呼叫 API 就能很輕鬆抓到你要的資料。」Hering 說。