黑莓手机存在安全风险 可窃取用户信息

　　2月8日，据国外媒体报道，应用安全研究机构Veracode实验室高级研究员泰勒·谢尔兹(Tyler Shields)编写了一段恶意代码TXSBBSpy，表明黑客可以通过短信发送一条指令，窃取黑莓手机用户的通信录和短信。

　　另外，黑客还能查看用户的通话记录、收到的短信，利用GPS(全球定位系统)实时跟踪用户的位置、开启手机上的麦克风监听用户通话内容。谢尔兹在接受采访时说，“利用厂商的API(应用编程接口)编写这类恶意代码很简单”。

　　谢尔兹公布了TXSBBSpy的源代码，但没有公布可执行代码，“我的目的是展示开发手机间谍件如何简单。TXSBBSpy能从手机中窃取信息，并通过短信或电子邮件将窃取的信息发送给任何Web服务器、TCP或UDP网络连接”。

　　用户的黑莓手机必须安装TXSBBSpy后黑客才能窃取信息。黑客可以向用户发送电子邮件或带有指向托管有TXSBBSpy的恶意网页链接的短信，点击链接后，恶意件会“秘密”安装在手机上。另外，黑客可以将恶意件伪装成合法的应用，诱惑用户下载。

　　谢尔兹表示，黑莓平台有“大量”安全机制，可以减轻这类攻击带来的危险，例如，用户可以限制一款应用能够访问的信息类别。但是，许多智能手机用户不了解这些安全风险，认为风险不高，不知道如何提高手机的安全性。趋势去年8月份进行的一项调查显示，只有23%的智能手机用户使用已经安装的安全软件。应用商店应当采取更多措施，对应用进行验证。

　　谢尔兹指出，黑莓用户应当对下载的应用及其权限保持谨慎，“用户不应当点击‘我信任这款应用’(I trust this app)按钮，这将使应用能访问所有信息”。用户应当限制应用能够访问的信息类别，或在应用访问某些信息前提醒用户。他说，“黑莓的安全机制存在问题，缺省状态下‘信任’应用。‘沙盒’技术只能保护应用之间不会相互干扰，不能阻止应用访问信息。应用商店使用户对安全产生了错误认识。”

　　谢尔兹称，他已经向黑莓手机厂商RIM通报了这一问题。谢尔兹还创作了演示TXSBBSpy的视频。

未经允许不得转载：DOIT » 黑莓手机存在安全风险 可窃取用户信息