2010-02-09 11:48:27 阅读10 评论0 字号:大中小
据国外媒体报道,cnet.com的专栏作家米尔斯(Elinor Mills)近日撰文表示,不仅仅存在于被人们所热议的iPhone,同时也存在于由RIM公司生产的。米尔斯全文翻译如下:
我们已经听说过关于iPhone的许多讨论,但事实上,对那些恶意也没有免疫功能。
为了证明这个事实,Veracode Research Lab的高级研究员谢尔德(Tyler Shields)为了编写了一个间谍,从而使我能够通过向他的手机发送一条短信指令的方式来使其手机以电子向我的手机抄送他的手机联系人列表。而通过向他的发送另一条短信,我能够获得他的所发送的任何短信。
另外,如果在得到他允许的情况下,我能够得到他所有的通话记录、监控他所有接收的短信、通过他手机所安装的GPS全球定位系统来查看他即时所在位置、或者打开的麦克风来窃听他的谈话内容。
谢尔德在接受采访时说:“通过使用手机供应商自有应用程序编程接口(API),我们能够轻易的编写这种类型的代码。而事实上,手机供应商向所有的研发商提供这类API。”谢尔德将其程序称为“TXSBBSpy”,并且将公布该程序源代码的非执行版本。谢尔德说:“我的目标就是,向外界证明开发间谍是一件非常容易的事情。”
谢尔德还进一步补充表示:“TXSBBSpy能够从中窃取信息,而不管这种信息是即时的还是快照方式的,虽然,该程序能够通过短信或者电子方式将所得到的信息发送给网络器或者TCP、UDP网络连接。”
当我通过发送短信的方式来控制这款间谍软件时,这款软件首先需要被安装在谢尔德的
黑莓上。而为了达到这个目的,我们可以向目标受害者发生包含一个网页链接的电子或者短信,而这个网页已经预装了这款间谍软件。或者,这款间谍软件也可以被隐藏在那些看似合法软件的内部,比如那些从在线商店的。
事实上,在上周三举行的Black Hat DC会议上,瑞士研究人员西里亚特(Nicolas Seriot)就已经用自己的iPhone演示了类似的间谍。
谢尔德说:“在整个的移动平台之上,我们所演示的这些行为十分普遍。”他同时表示,黑莓拥有数量很多的机制,从而来降低这些攻击所带来的损害。比如,用户可以通过设置选项的方式来选择接入何种特定的数据类型,从而减低风险。
但是一个事实上,就目前情况而言,许多智能手机的用户并不知道如何控制风险、不了解哪些风险具有严重的危害或者不知道如何进一步保障其手机的。根据Trend Micro的一项调查结果,仅有23%的智能用户使用了那些已经预先安装的。
谢尔德还表示,另一方面,在线软件商店也需要在确保的方面做出更多努力。而这也是西里亚特当时所提出的观点。
同时,用户在下载时,必须了解所软件的种类以及将给予这些软件何种权力。谢尔德说:“用户不能轻易点击’我信任这个软件’之类的按键,因为这将给与该接触你所有信息的权限。”
用户应该通过
黑莓的选项屏幕来查看这些软件的构造,并且清楚的设定这些所能够接触的信息,或者设定相关的预警功能。
谢尔德说:“现有的模式是不够的,因为他们通常设有默认信任功能。比如,Sandboxing仅能够保证一个软件不受另一个的侵害,但是却不能保证信息的安全。在所谓的上,在线商店使得用户产生了错觉。”
谢尔德还表示,他已经与RIM公司就的进行了沟通,而其所得到的官方答复是:“对于应用中心的运作,我们不给予任何评论。”