從”第一個 iOS 惡意程式”事件 看 App 存取使用者通訊錄的權限問題

從”第一個 iOS 惡意程式”事件 看 App 存取使用者通訊錄的權限問題

作者:Warren Tsai (趨勢科技產品經理)

近日一大堆新聞網站的頭條都是有關「第一個 iOS 惡意程式」現身 iOS App Store 商店的訊息。這些頭條看起來很嚇人,但有一個小小問題:其說法並非 100% 正確。

Android 版本的「Find and Call」程式就是趨勢科技所偵測到的 ANDROIDOS_INFOLKFIDCAL.A,而 iOS 版本則是 IOS_INFOLKCONTACTS.A,它只有一個主要功能:偷偷將使用者的通訊錄傳送至一個遠端伺服器。簡單的說,這很明顯違反了個人的隱私權,所有 App 程式都不應該這麼做。但也僅止於此。在這個案例當中,通訊錄當中的聯絡人會收到一些垃圾郵件(SPAM),但這是由遠端的伺服器所發送,而非來自「惡意程式」本身。

問題是,正常的應用程式也曾經做過同樣的事。最有名的就是「Path」社交網路 App 程式,它在今年稍早就被人逮到從事同樣的行為。Path 如此明目張膽的行徑在當時引來了強烈的批評。

這件事引起了 Apple 的特別注意,因此在 iOS 6 Beta 版當中,每次一個 App 程式要存取/傳送使用者的聯絡人、行事曆、備忘錄或相片之前,系統都會先徵詢使用者同意。

事實上,已經有太多正常的 App 程式都想要知道使用者的行為模式,因此,將使用者的行事曆資訊傳送到伺服器已經不再讓人立即聯想到「不良」行為,因為很多人都允許 App 程式這麼做。不幸的是,將使用者通訊錄名單外傳的行為竟然被這些 App 程式給「合理化」了,即使它嚴格來說仍舊是一種可惡的行為。其實,「Find and Call」的確有先要求取得使用者通訊錄的存取權限,有圖為證:

「Find and Call」的確有先要求取得使用者通訊錄的存取權限
「Find and Call」的確有先要求取得使用者通訊錄的存取權限

對於這所謂「第一個 iOS 惡意程式」的誇大說法,使用者不必隨之起舞,但應該想想該應用程式 (以及背後的作者) 真正做了什麼:存取您的通訊錄。也想想有多少應用程式都曾經要求過同樣的權限,而且通常都是以和你的好友/聯絡人分享或搜尋你作為幌子。使用者應該將此事件當成一記醒鐘:以後該多注意自己將資訊開放給哪些對象、還有次數有多頻繁。

對於提供工具協助使用者掌控個人資訊的 Apple,我們應該給予掌聲。其他的行動裝置作業系統廠商也應跟進,為使用者提供保護個人隱私的功能。

@原文來源: (Malware for iOS? Not Really

 


TMMS 動新聞.PNG

手機防毒不可不知 (蘋果動新聞 有影片)

@開箱文與評測報告

防毒也防失竊趨勢科技行動安全防護軟體測試

[評測]趨勢科技行動安全防護for Android

TMMS 3.75 Stars in PC World AU

 

◎ 歡迎加入趨勢科技社群網站