oxalisgandw 該用戶已被刪除 |
Black Hat USA 2010安全論壇中,行動安全公司Lookout指出,智慧型手機資料外洩風險大過一般用戶想像。
該公司CEO John Hering和CTO Mahaffey展示名為《App Genome專案》的簡報,內容為調查Android及iPhone應用程式處理安全及機密資料的方式。
Lookout所指的不是Android、iPhone手機有弱點,而是開發人員往往忽略第三方程式碼的風險,以及使用者也不了解允許應用存取他們資料的影響性。
例如,一個已有數百萬次下載的Android裝置桌布被發現會將使用者資訊—電話、訂戶識別碼和現有語音郵件電話號碼–傳送到中國大陸的伺服器。
這不見得是惡意程式,也可能是使用者想都沒想過就同意提供這些資訊,但這也突顯出手機暴露資料的風險。
「約有29%的Android應用和33%的iPhone應用程式都可存取使用者地點資訊,」Lookout說。
可存取使用者聯絡人資料的應用程式,iPhone(14%)大約是Android(8%)的兩倍。
大約半數(47%)Android應用包含第三方程式碼,一般是和廣告提供有關,iPhone上的比例為23%。
上周花旗銀行通知美國銀行用戶該公司的Citi Mobile iPhone應用程式包含可能洩露銀行帳戶資料的瑕疵,使第三方程式碼風險更為突顯。
這支應用是由花旗銀行開發人員及mFoundry行動銀行軟體組合而成。雖然該應用不安全程式碼未曝光,但風險無庸置疑。
即使行動應用是由一家公司製作,但卻可能具備不為人知的功能。例如Nick Lee的手電筒程式,表面上是藉由打亮螢幕來模仿手電筒,但卻隱含連網功能,促使蘋果將之從iTunes Store拿下。
Hering 及Mahaffey強調,開發人員開發程式時必須遵循安全最佳作法。「今天開發人員對程式碼並不是完全了解。」
他們指出,一支Android應用會從其他Android應用程式的log 檔讀取到傳送ID。登入資料暴露給不相關的應用並非明智之舉,因此Hering呼籲開發人員不要允許機密資料寫到log檔中。
「標準化API可使攻擊程式碼容易撰寫。你不需要像在桌面端做那麼複雜的事,只要呼叫API就能很輕鬆抓到你要的資料。」Hering說。... |
|
回覆中加入附件並不會使你增加積分,請使用主題方式發佈附件。 |
| |
| |
oxalisgandw 該用戶已被刪除 | 確實,我們自己在開發android的時候都會忽略... |
|
若瀏覽伊莉的時侯發生問題或不正常情況,請使用Internet Explorer(I.E)。 |
| |
| |
Powered by Discuz!
© Comsenz Inc.
重要聲明:本討論區是以即時上載留言的方式運作,對所有留言的真實性、完整性及立場等,不負任何法律責任。而一切留言之言論只代表留言者個人意見,並非本網站之立場,用戶不應信賴內容,並應自行判斷內容之真實性。於有關情形下,用戶應尋求專業意見(如涉及醫療、法律或投資等問題)。 由於本討論區受到「即時上載留言」運作方式所規限,故不能完全監察所有留言,若讀者發現有留言出現問題,請聯絡我們。有權刪除任何留言及拒絕任何人士上載留言,同時亦有不刪除留言的權利。切勿上傳和撰寫 侵犯版權(未經授權)、粗言穢語、誹謗、渲染色情暴力或人身攻擊的言論,敬請自律。本網站保留一切法律權利。