黑莓手机存在安全风险 可窃取用户信息

  2月8日,据国外媒体报道,应用安全研究机构Veracode实验室高级研究员泰勒·谢尔兹(Tyler Shields)编写了一段恶意代码TXSBBSpy,表明黑客可以通过短信发送一条指令,窃取黑莓手机用户的通信录和短信。

  另外,黑客还能查看用户的通话记录、收到的短信,利用GPS(全球定位系统)实时跟踪用户的位置、开启手机上的麦克风监听用户通话内容。谢尔兹在接受采访时说,“利用厂商的API(应用编程接口)编写这类恶意代码很简单”。

  谢尔兹公布了TXSBBSpy的源代码,但没有公布可执行代码,“我的目的是展示开发手机间谍件如何简单。TXSBBSpy能从手机中窃取信息,并通过短信或电子邮件将窃取的信息发送给任何Web服务器、TCP或UDP网络连接”。

  用户的黑莓手机必须安装TXSBBSpy后黑客才能窃取信息。黑客可以向用户发送电子邮件或带有指向托管有TXSBBSpy的恶意网页链接的短信,点击链接后,恶意件会“秘密”安装在手机上。另外,黑客可以将恶意件伪装成合法的应用,诱惑用户下载。

  谢尔兹表示,黑莓平台有“大量”安全机制,可以减轻这类攻击带来的危险,例如,用户可以限制一款应用能够访问的信息类别。但是,许多智能手机用户不了解这些安全风险,认为风险不高,不知道如何提高手机的安全性。趋势去年8月份进行的一项调查显示,只有23%的智能手机用户使用已经安装的安全软件。应用商店应当采取更多措施,对应用进行验证。

  谢尔兹指出,黑莓用户应当对下载的应用及其权限保持谨慎,“用户不应当点击‘我信任这款应用’(I trust this app)按钮,这将使应用能访问所有信息”。用户应当限制应用能够访问的信息类别,或在应用访问某些信息前提醒用户。他说,“黑莓的安全机制存在问题,缺省状态下‘信任’应用。‘沙盒’技术只能保护应用之间不会相互干扰,不能阻止应用访问信息。应用商店使用户对安全产生了错误认识。”

  谢尔兹称,他已经向黑莓手机厂商RIM通报了这一问题。谢尔兹还创作了演示TXSBBSpy的视频。