Pakar Tidak Terkejut Dengan Laporan Aplikasi Berfikir iPhone

Aplikasi iPhone berniat jahat yang diluluskan oleh Apple secara tidak sengaja boleh menyerang walaupun iPhone bukan-jailbroken, menurut pemaju, tetapi pakar keselamatan mengatakan ini bukan berita yang menghancurkan bumi.

"Jika anda memahami cara keselamatan iPhone kerja-kerja, saya tidak fikir ini adalah satu kejutan, "kata Charlie Miller, seorang penganalisis di Independent Security Evaluators yang pada bulan Julai memperlihatkan kelemahan SMS yang boleh membiarkan penggodam mengambil alih telefon.

Nicholas Seriot, pemaju iPhone Swiss, menggambarkan aplikasi konsep bukti (PDF) yang dipanggil SpyPhone, yang mampu menggali dan mengubah kenalan, mencari carian Web lalu, menyimpan lokasi GPS dan Wi-Fi dan menyalin semua yang pernah anda taip pada telefon kecuali untuk kata laluan. (Tidak, anda tidak boleh memuat turunnya dari App Store.)

[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari PC Windows anda]

Seriot menggambarkan data bukan ancaman langsung kepada kata laluan atau e-

Jelas sekali, Apple tidak akan sengaja membenarkan aplikasi sedemikian ke dalam App Store - Apple telah mengatakan bahawa ia menolak 10 peratus, tetapi ia mungkin menarik minat pemasar, spammer, pencuri, pesaing dan pegawai penguatkuasa undang-undang. penghujahan untuk menjadi "tidak sesuai," dalam beberapa kes kerana mereka cuba mencuri data peribadi - kecuali Seriot mengatakan mungkin untuk menipu pengulas App Store.

Dino Dai Zovi, penyelidik keselamatan dan pengarang "The Mac Hacker's Handbook," dalam satu wawancara bahawa kebimbangan Seriot dibangkitkan sah. Pengulas Apple dengan mudah boleh mengeluarkan aplikasi yang, katakan, membaca buku alamat dan menghantar kandungan kepada spammer. Tetapi lebih sukar untuk mengesan aplikasi yang kaedahnya kurang langsung, contohnya dengan melaksanakan skrip dari pelayan Web selepas muat turun. Selain itu, pengulas App Store hanya manusia, dan mereka berada di bawah tekanan untuk meluluskan lebih banyak aplikasi daripada mana-mana platform lain.

Kedua-dua Dai Zovi dan Miller menyatakan bahawa laporan Seriot membawa falsafah Apple yang berbeza dari platform terbuka seperti Android.

Apple mempunyai satu-saiz-semua pendekatan untuk akses data, jadi jika saya memuat turun permainan, ia masih boleh mengakses secara teknikal dan kenalan keypad saya. Di Android, pengguna diberitahu data yang diakses apabila mereka memasang aplikasi, tetapi proses semakan tidak begitu ketat. Penyelidikan Seriot pada dasarnya menyenaraikan semua perkara yang boleh digunakan oleh aplikasi yang berniat jahat di bawah pendekatan Apple, dan menyatakan bahawa hanya penapis Apple yang berdiri di jalan.

"Sebaliknya, terpulang kepada pengguna untuk memutuskan apa yang mereka mahukan," kata Dai Zovi. "Adakah mereka mahu kebebasan yang lebih besar dengan risiko yang lebih besar dari jenis spyware ini, atau adakah mereka mahu jaminan - walaupun jaminan tidak sempurna - disediakan oleh Apple melihat aplikasi ini?"