據報導,外國有安全研究人員發現,一款起初專為Android設備設計的監控應用程序,現在已經同樣可以應用在iPhone上。
是次的事件由移動安全公司Lookout的研究人員發現。研究人員發現,該間諜應用程序的開發人員濫用他們的Apple發出的企業證書,以繞過App Store的過濾並將程式上架,令到無辜的iPhone用戶受害。
據悉,這個應用程式安裝後,就會開始收集用戶手機上的電話簿資訊、錄音、照片、影片或其他信息如實時定位數據。研究人員發現,它可以通過遠程操作來收聽人們的談話。研究人員指出,惡意應用程序是從意大利和土庫曼斯坦的虛假網站提供服務的。研究人員將該應用程序與之前發現的Android應用程序的關發者聯繫起來,初步懷疑該應用程序由意大利監管應用程序製造商Connexxa開發,該應用程序已被意大利當局使用。
當時,被稱為Exodus的Android應用程序影響了數百名手機用戶。 而Exodus擁有更大的功能集並擴展了間諜功能,下載了一個旨在獲得設備root訪問權限的額外漏洞,使應用程序幾乎能夠完全收集設備上的數據,包括電子郵件、手機數據、Wi-Fi密碼等等。
Lookout的高級員工安全情報工程師Adam Bauer表示,這兩個應用程序使用相同的後端基礎架構,但iOS應用程序使用多種技術(如證書固定)使分析網絡流量變得困難。雖然Android版本可直接從Google Play Store下載,但iOS版本並未廣泛分發。相反,Connexxa使用Apple向開發人員頒發的企業證書籤署了應用程序,令Apple允許監控應用程序製造商繞過其嚴格的應用程序商店檢查。
Apple表示開發者違反了其規則。在研究人員披露其調查結果後,Apple撤銷了該應用程式開發者的企業證書,將每個已安裝的應用程序脫機並停止運行。但研究人員表示,目前未知有多少iPhone用戶受到影響。
資料來源:Tech Crunch
這篇文章 無良開發者上架專門針對iPhone用戶之間諜應用程式 最早出現於 TechApple.com。
