Eksperter ikke overrasket over iPhone skadelig app rapport

Ondsomme iPhone-apps, som Apple uhensigtsmæssigt godkender, kunne angribe selv ikke-jailbroken iPhones, ifølge en udvikler, men sikkerhedseksperter siger, at dette ikke er jordskælvende nyheder.

"Hvis du forstår, hvordan sikkerheden til iPhone værker, mener jeg ikke, det er en overraskelse, "siger Charlie Miller, en analytiker hos uafhængige sikkerhedsvurderingsansvarlige, der i juli demonstrerede en sms-sårbarhed, der kunne lade hackere overta telefonen.

Nicholas Seriot, en schweizisk iPhone-udvikler, beskrevet en proof-of-concept-app (PDF) kaldet SpyPhone, der er i stand til at grave op og ændre kontakter, finde tidligere websøgninger, lagre GPS- og Wi-Fi-steder og kopiere alt, hvad du nogensinde har skrevet på telefonen undtagen passwords. (Nej, du kan ikke downloade den fra App Store.)

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Dataene Seriot beskriver ikke en direkte trussel mod dine adgangskoder eller e- mails, men det kunne være af interesse for marketingfolk, spammere, tyve, konkurrenter og retshåndhævende embedsmænd, siger han.

Selvfølgelig ville Apple aldrig bevidst lade en sådan ansøgning ind i App Store - Apple har sagt, at den afviser 10 procent af indlæg for at være "upassende", i nogle tilfælde fordi de forsøger at stjæle personlige data - medmindre Seriot siger, at det er muligt at narre App Store-korrekturlæsere. Dette kunne opnås ved at forsinke spywareaktivering, kryptere nyttelast eller ændre ting rundt ved kørselstid, seriot krav.

Dino Dai Zovi, en sikkerhedsforsker og forfatter af "The Mac Hacker's Handbook", sagde i et interview, at bekymringerne Seriot hævede er gyldige. Apples korrekturlæsere kan nemt rodde applikationer, som f.eks. Læse en adressebog og sende indholdet til spammere. Men det er sværere at registrere et program, hvis metoder er mindre direkte, f.eks. Ved at udføre et script fra en webserver efter download. Også App Store-anmeldere er kun menneskelige, og de er under pres for at godkende flere apps end nogen anden platform.

Både Dai Zovi og Miller bemærkede, at Seriot's rapport bringer op en Apple filosofi, som adskiller sig fra åbne platforme som Android.

Apple har en tilgang til alle former for adgang til data, så hvis jeg downloader et spil, kan det stadig være teknisk tilgængeligt for mine kontakter og tastaturindgang. På Android bliver brugerne fortalt, hvilke data der er adgang til, når de installerer et program, men gennemgangen er ikke så streng. Seriot's forskning viser i det væsentlige alle de ting, som en ondskabsfuld app kunne bruge under Apples tilgange, og bemærker, at kun Apples censorer står i vejen.

"Det er meget, det er op til brugerne at bestemme, hvilken erfaring de vil have", sagde Dai Zovi. "Ønsker de større frihed med større risiko for denne type spyware, eller ønsker de forsikringerne - om end ufuldstændige forsikringer - som Apple har givet udtryk for over disse applikationer?"