Mga Eksperto Hindi Nagulat Sa pamamagitan ng iPhone Malisyosong Ulat ng App

Ang mga malisyosong apps sa iPhone na hindi sinang-ayunan ni Apple ay maaaring mag-atake kahit na di-jailbroken na mga iPhone, ayon sa isang developer, ngunit sinasabi ng mga eksperto sa seguridad na ito ay hindi nakakatakot sa balita.

"Kung nauunawaan mo ang paraan ng seguridad ng iPhone gumagana, hindi sa tingin ko ito ay isang sorpresa, "sabi ni Charlie Miller, isang analyst sa Independent Security Evaluators na sa Hulyo nagpakita ng isang kahinaan sa SMS na maaaring hayaan ang mga hackers na kumuha ng telepono.

Nicholas Seriot, isang Swiss iPhone developer, Inilarawan ang isang app ng patunay-ng-konsepto (PDF) na tinatawag na SpyPhone, na may kakayahang maghukay at baguhin ang mga contact, paghahanap ng mga nakaraang paghahanap sa Web, pag-iimbak ng mga lokasyon ng GPS at Wi-Fi at pagkopya ng lahat ng bagay na na-type mo sa telepono maliban sa mga password. (Hindi, hindi mo ma-download ito mula sa App Store.)

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Ang paglalarawan ng Seriot ay hindi direktang banta sa iyong mga password o e- mail, ngunit maaari itong maging interes sa mga marketer, spammers, magnanakaw, kakumpitensiya at mga opisyal ng pagpapatupad ng batas, sabi niya.

Malinaw na, hindi kailanman sinadya ng Apple na payagan ang naturang application sa App Store nito - Sinabi ng Apple na tinatanggihan nito ang 10 porsiyento ng mga pagsusumite para sa pagiging "hindi nararapat," sa ilang mga kaso dahil sinubukan nilang magnakaw ng personal na data - maliban sa sabi ni Seriot posible upang linlangin ang mga reviewer ng App Store. Ito ay maaaring maganap sa pamamagitan ng pagpapaliban sa activation ng spyware, pag-encrypt ng mga payload o pagpapalit ng mga bagay sa paligid sa runtime, ang mga claim sa Seriot.

Dino Dai Zovi, isang tagapagpananaliksik ng seguridad at may-akda ng "The Mac Hacker's Handbook," sinabi sa isang interbyu ay wasto. Madaling i-root ng mga reviewer ng Apple ang mga application na, sabihin, basahin ang isang address book at ipadala ang mga nilalaman sa mga spammer. Ngunit mas mahirap tiktikan ang isang application na ang mga pamamaraan ay mas direktang, halimbawa sa pag-e-execute ng isang script mula sa isang Web server matapos na i-download. Gayundin, ang mga tagatingi ng App Store ay pawang tao lamang, at sila ay nasa ilalim ng presyon upang aprubahan ang higit pang mga apps kaysa sa iba pang platform.

Parehong sinabi ni Dai Zovi at Miller na ang ulat ni Seriot ay nagdudulot ng isang pilosopiya ng Apple na naiiba sa mga bukas na platform tulad ng Android.

Ang Apple ay may isang sukat sa lahat ng diskarte sa pag-access ng data, kaya kung nag-download ako ng laro, maaari pa rin itong ma-access ang aking mga contact at keypad entry sa technically. Sa Android, sinasabihan ang mga user kung anong data ang na-access kapag nag-install sila ng isang application, ngunit ang proseso ng pagrepaso ay hindi kasing estrikto. Ang pananaliksik ng Seriot ay mahalagang naglilista ng lahat ng mga bagay na maaaring gamitin ng isang nakakahamak na app sa ilalim ng diskarte ng Apple, at ang mga tala na tanging mga censor ng Apple ang nakatayo sa daan.

"Higit sa lahat, nasa mga gumagamit na magpasya kung anong karanasan ang gusto nila," sabi ni Dai Zovi. "Gusto ba nila ang mas malaking kalayaan na may mas malaking panganib sa ganitong uri ng spyware, o gusto nila ang mga assurances - kahit na hindi sakdal na mga katiyakan - na ibinigay ng Apple na naghahanap sa mga application na ito?"