黑帽駭客大會：Android、iPhone手機資料外洩嚴重

Black Hat USA 2010安全論壇中，行動安全公司Lookout指出，智慧型手機資料外洩風險大過一般用戶想像。
該公司CEO John Hering和CTO Mahaffey展示名為《App Genome專案》的簡報，內容為調查Android及iPhone應用程式處理安全及機密資料的方式。
Lookout所指的不是Android、iPhone手機有弱點，而是開發人員往往忽略第三方程式碼的風險，以及使用者也不了解允許應用存取他們資料的影響性。
例如，一個已有數百萬次下載的Android裝置桌布被發現會將使用者資訊—電話、訂戶識別碼和現有語音郵件電話號碼–傳送到中國大陸的伺服器。
這不見得是惡意程式，也可能是使用者想都沒想過就同意提供這些資訊，但這也突顯出手機暴露資料的風險。
「約有29%的Android應用和33%的iPhone應用程式都可存取使用者地點資訊，」Lookout說。
可存取使用者聯絡人資料的應用程式，iPhone（14%）大約是Android（8%）的兩倍。
大約半數(47%)Android應用包含第三方程式碼，一般是和廣告提供有關，iPhone上的比例為23%。
上周花旗銀行通知美國銀行用戶該公司的Citi Mobile iPhone應用程式包含可能洩露銀行帳戶資料的瑕疵，使第三方程式碼風險更為突顯。
這支應用是由花旗銀行開發人員及mFoundry行動銀行軟體組合而成。雖然該應用不安全程式碼未曝光，但風險無庸置疑。
即使行動應用是由一家公司製作，但卻可能具備不為人知的功能。例如Nick Lee的手電筒程式，表面上是藉由打亮螢幕來模仿手電筒，但卻隱含連網功能，促使蘋果將之從iTunes Store拿下。
Hering 及Mahaffey強調，開發人員開發程式時必須遵循安全最佳作法。「今天開發人員對程式碼並不是完全了解。」
他們指出，一支Android應用會從其他Android應用程式的log 檔讀取到傳送ID。登入資料暴露給不相關的應用並非明智之舉，因此Hering呼籲開發人員不要允許機密資料寫到log檔中。
「標準化API可使攻擊程式碼容易撰寫。你不需要像在桌面端做那麼複雜的事，只要呼叫API就能很輕鬆抓到你要的資料。」Hering說。...

瀏覽完整內容，請先 註冊 或 登入會員

確實，我們自己在開發android的時候都會忽略...