從”第一個 iOS 惡意程式”事件 看 App 存取使用者通訊錄的權限問題

從”第一個 iOS 惡意程式”事件 看 App 存取使用者通訊錄的權限問題

作者:Warren Tsai (趨勢科技產品經理)

近日一大堆新聞網站的頭條都是有關「第一個 iOS 惡意程式」現身 iOS App Store 商店的訊息。這些頭條看起來很嚇人,但有一個小小問題:其說法並非 100% 正確。

Android 版本的「Find and Call」程式就是趨勢科技所偵測到的 ANDROIDOS_INFOLKFIDCAL.A,而 iOS 版本則是 IOS_INFOLKCONTACTS.A,它只有一個主要功能:偷偷將使用者的通訊錄傳送至一個遠端伺服器。簡單的說,這很明顯違反了個人的隱私權,所有 App 程式都不應該這麼做。但也僅止於此。在這個案例當中,通訊錄當中的聯絡人會收到一些垃圾郵件(SPAM),但這是由遠端的伺服器所發送,而非來自「惡意程式」本身。

問題是,正常的應用程式也曾經做過同樣的事。最有名的就是「Path」社交網路 App 程式,它在今年稍早就被人逮到從事同樣的行為。Path 如此明目張膽的行徑在當時引來了強烈的批評。

這件事引起了 Apple 的特別注意,因此在 iOS 6 Beta 版當中,每次一個 App 程式要存取/傳送使用者的聯絡人、行事曆、備忘錄或相片之前,系統都會先徵詢使用者同意。

事實上,已經有太多正常的 App 程式都想要知道使用者的行為模式,因此,將使用者的行事曆資訊傳送到伺服器已經不再讓人立即聯想到「不良」行為,因為很多人都允許 App 程式這麼做。不幸的是,將使用者通訊錄名單外傳的行為竟然被這些 App 程式給「合理化」了,即使它嚴格來說仍舊是一種可惡的行為。其實,「Find and Call」的確有先要求取得使用者通訊錄的存取權限,有圖為證:

「Find and Call」的確有先要求取得使用者通訊錄的存取權限
「Find and Call」的確有先要求取得使用者通訊錄的存取權限

對於這所謂「第一個 iOS 惡意程式」的誇大說法,使用者不必隨之起舞,但應該想想該應用程式 (以及背後的作者) 真正做了什麼:存取您的通訊錄。也想想有多少應用程式都曾經要求過同樣的權限,而且通常都是以和你的好友/聯絡人分享或搜尋你作為幌子。使用者應該將此事件當成一記醒鐘:以後該多注意自己將資訊開放給哪些對象、還有次數有多頻繁。

對於提供工具協助使用者掌控個人資訊的 Apple,我們應該給予掌聲。其他的行動裝置作業系統廠商也應跟進,為使用者提供保護個人隱私的功能。

@原文來源: (Malware for iOS? Not Really

 


TMMS 動新聞.PNG

手機防毒不可不知 (蘋果動新聞 有影片)

@開箱文與評測報告

防毒也防失竊趨勢科技行動安全防護軟體測試

[評測]趨勢科技行動安全防護for Android

TMMS 3.75 Stars in PC World AU

 

◎ 歡迎加入趨勢科技社群網站
   
 

病毒也在寫奧運紀錄!!社群媒體首度參賽~從2008北京到2012倫敦奧運相關病毒威脅與預測

從北京到倫敦:從2008到2012,網路犯罪份子一直利用世界級的重要運動賽事當做誘餌,讓沒有警覺心的使用者落入他們的陷阱裡。

從北京到倫敦:從2008到2012,網路犯罪份子一直利用世界級的重要運動賽事當做誘餌,讓沒有警覺心的使用者落入他們的陷阱裡
從北京到倫敦:從2008到2012,網路犯罪份子一直利用世界級的重要運動賽事當做誘餌,讓沒有警覺心的使用者落入他們的陷阱裡

 

 

 

 

 

 

 

 

 

 

 

選手們

1.釣魚網站
2.帶有惡意連結的垃圾郵件
3.釣魚郵件
4.帶有惡意附件的垃圾郵件
5.流氓防毒軟體
6.社群媒體威脅
2008 北京奧運 2010 溫哥華冬季奧運 2012 年倫敦奧運 主要惡意軟體威脅演變
2008 北京奧運 2010 溫哥華冬季奧運 2012 年倫敦奧運 主要惡意軟體威脅演變

 2008 年 北京奧運釣魚網站:用來騙取想看比賽實況轉播的使用者信用卡資料

2010 溫哥華冬季奧運惡意網站,使用者被騙去號稱放有雪橇撞擊事件影片的假網站

2012年倫敦奧運:不像之前的網路釣魚(Phishing)攻擊變種,新的攻擊不僅想要使用者的個人資料,還會帶來惡意軟體

2012年排名:前三名社交工程攻擊誘餌與前三名奧運威脅
2012年排名:前三名社交工程攻擊誘餌與前三名奧運威脅

 

前三名社交工程攻擊誘餌

  1. 第一名比賽資訊:假的新聞、賽程表、影片和分數
  2. 第二名 樂透詐騙:來自奧運活動的假中獎通知
  3. 第三名 相關促銷:假的工作訊息或第三方奧運促銷

 

前三名奧運相關威脅

  1. 第一名詐騙:直接向使用者騙取個人資料
  2. 第二名惡意軟體下載程式:帶來其他可能會竊取資料的惡意軟體
  3. 第三名蠕蟲透過電子郵件散播,打開惡意網站和下載惡意檔案

預測

社群媒體威脅大幅增加

可以預期地,社群網路上會出現大量利用奧運話題的網路攻擊

惡意行動應用程式

下載應用程式時,要特別小心那些假裝成正常軟體特別奧運版的惡意應用程式

 

 

 

PC-cillin 雲端版整合 AI 人工智慧的多層式防護,精準預測即時抵禦未知威脅 》即刻免費下載試用

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。 *手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 

▼ 歡迎加入趨勢科技社群網站▼ 好友人數

 

@延伸閱讀
奧運即時轉播? 19 個網址有毒! 下載奧運相關手機 App,當心閉幕式後帳單暴增

2012倫敦奧運閉幕式旅行套票抽獎?!”Early Check-In 2012 London Olympics.doc”勿開啟!

企圖利用2012年倫敦奧運會的三種垃圾郵件類型

作賊喊抓賊,倫敦奧運網路售票詐騙網警告信,夾帶後門程式

世足賽球迷成為線上詐騙新目標

 

印表機狂印 300 張還會亂彈出廣告,原來是中毒了

趨勢科技在這月初收到許多案例關於一定數量的列印工作被發送到印表機和印表伺服器。這會延遲原本的列印工作,因為每個印表機平均會印300頁左右。但到底是什麼在列印?

 

被列印的文件如同下圖,其實是幾行代碼,趨勢科技認為其他惡意軟體想在目標機器上安裝的程式碼。做出這些印表動作的電腦上被發現感染有TROJ_AGENT.BCPC或TROJ_PONMOCOP變種。

 

被列印的文件圖,其實是幾行代碼,趨勢科技認為其他惡意軟體想在目標機器上安裝的程式碼。做出這些印表動作的電腦上被發現感染有TROJ_AGENT.BCPC或TROJ_PONMOCOP變種。
被列印的文件圖,其實是幾行代碼,趨勢科技認為其他惡意軟體想在目標機器上安裝的程式碼。做出這些印表動作的電腦上被發現感染有TROJ_AGENT.BCPC或TROJ_PONMOCOP變種。

 

 

趨勢科技注意到,隨機命名的二進位檔案會出現在中毒電腦的下列位置:

 

TROJ_AGENT.BCPC

 

  • %System%\{隨機十個字母}.exe
  • %System%\SPOOL\PRINTERS\FP{五個數字}.SPL – 我們相信是這檔案導致列印動作
  • %System%\SPOOL\PRINTERS\{隨機檔案}.tmp

 

隨機命名的二進位檔案會出現在中毒電腦的位置
隨機命名的二進位檔案會出現在中毒電腦的位置

繼續閱讀

奧運即時轉播? 19 個網址有毒! 下載奧運相關手機 App,當心閉幕式後帳單暴增

 
即時轉播釣魚網站充斥;回味開幕式影片,網路釣魚虎視眈眈;惡意 APP,下載後帳單破紀錄 …倫敦奧運相關威脅層出不窮
 

期待已久的 2012 年倫敦奧運正式揭開序幕。除了一些兜售門票的詐騙網站與販售偽造票卡給日本消費者的惡意網站之外,趨勢科技也看到了許多趁此運動盛會佯稱提供即時影音串流的網站。以下摘錄一些網址給大家參考:

奧運即時轉播?19 個網址有毒!

  1. https://olympicsopeningceremony2012live.{BLOCKED}d.com
  2. https://olympicgames2012live.{BLOCKED}d.com
  3. https://olympics-2012-live-stream.tumblr.com
  4. https://olypiccoverage2012.{BLOCKED}d.com
  5. https://{BLOCKED}12openinglivestream.{BLOCKED}d.com
  6. https://{BLOCKED}livestream.epl-schedule.com
  7. https://{BLOCKED}ingceremony2012live.blogspot.com
  8. https://{BLOCKED}ndonolympics2012liveonline.{BLOCKED}g.com
  9. https://{BLOCKED}12olympicsonline.{BLOCKED}log.com
  10. https://{BLOCKED}12olympicsliveonline.{BLOCKED}o.com
  11. https://{BLOCKED}ndonolympicsliveonline.tumblr.com
  12. https://{BLOCKED}12olympicsliveonline.{BLOCKED}w.com
  13. https://{BLOCKED}12olympicsliveonline.{BLOCKED}b.com
  14. https://{BLOCKED}12olympicsliveonline.{BLOCKED}ner.com
  15. https://{BLOCKED}ympics2012livestreamfree.{BLOCKED}d.com
  16. https://{BLOCKED}donolympics2012liveonline.{BLOCKED}g.com
  17. https://{BLOCKED}12olympicsliveonline.{BLOCKED}b.com
  18. https://{BLOCKED}peningceremony2012.{BLOCKED}b.com
  19. https://{BLOCKED}urnal.co.uk

搜尋”奧運”,找到便宜奧運門票?!想再度回味開幕式,網路釣魚守株待兔

當使用者搜尋「watch london olympics opening ceremony live」(觀賞倫敦奧運開幕式實況轉播)、「watch london olympics online」(線上觀賞倫敦奧運)、「watch london olympics 2012 live」(觀賞 2012 倫敦奧運實況轉播) 等關鍵字詞時,前述網站將出現在搜尋結果的前幾項,因為駭客使用了所謂的「Black_Hat SEO 搜尋引擎毒化」(簡稱 BHSEO)。

 

搜尋「watch london olympics online」(線上觀賞倫敦奧運)當新病毒就在幕後虎視眈眈
搜尋「watch london olympics online」(線上觀賞倫敦奧運)當新病毒就在幕後虎視眈眈

 

 趨勢科技在分析時,前述有些網站會重導到假的 2012 年倫敦奧運實況轉播網站,網站上還提供一些連結可購買便宜的 (事實上是假的) 門票 。該連結已在之前部落格文章當中披露。

 

山寨網站提供便宜的 (事實上是假的) 奧運門票購買連結
山寨網站提供便宜的 (事實上是假的) 奧運門票購買連結

 

還有一些實況影音串流網站,則會重導到另一個要求您輸入電子郵件地址的網站。網路犯罪者藉此收集消費者的電子郵件地址,然後用於散發垃圾郵件(SPAM)。

一些實況影音串流網站,會重導到另一個要求輸入電子郵件地址,網路犯罪者藉此收集消費者的電子郵件地址,然後用於散發垃圾郵件(SPAM)
一些實況影音串流網站,會重導到另一個要求輸入電子郵件地址,網路犯罪者藉此收集消費者的電子郵件地址,然後用於散發垃圾郵件(SPAM)

繼續閱讀

測試你的密碼:更多的密碼外洩事件(含複雜密碼,簡單記憶法設定教學)

FormspringBillabong、Nvidia和雅虎都傳出了大規模的密碼外洩事件,許多使用者的用戶名稱和密碼都被放到網路上。雅虎被入侵事件影響了45萬名使用者,另外還有39萬名是在Nvidia外洩的。

 大約在一個月前,我們首先談到了不安全的密碼和關於密碼的基本問題。隨著最近發生的事件,許多使用者可能需要被再次提醒關於密碼的問題以及如何保護它們。

用者可能需要被再次提醒關於密碼的問題以及如何保護它們。

 

 

你的密碼能通過測試嗎?

 

你的密碼能通過測試嗎?

 

密碼安全該做和不該做的事

  1. 不要使用常見字或連續數字所建立起的短密碼
  2. 不要在不同平台使用相同的密碼
  3. 要定期變更你的密碼

 

常見問題

 

LinkedIneHarmonylast.fm英雄聯盟(LOL雅虎,這些網站有何共同點?這些網站都曾經是嚴重的資料外洩受害者,讓數百萬的用戶名稱和密碼被公布在網路上。這些事件告訴我們,大多數網路使用者還在使用不安全的密碼,有太多短密碼(像1234)。還有使用者會用很容易被猜中的密碼。雅虎受駭事件可以看出,這45萬被外洩的用戶名稱和密碼主要都是連續數字(如12345)或用單字當密碼。

 

 

 

不幸的是,這不會是最後一次看到資料竊取攻擊。只要網路犯罪分子可以從偷來的資料中獲利,他們就會不斷地嘗試破解使用者的帳號。一旦發生這種情況,你對你的密碼強度有信心嗎?你的密碼是否有機會對抗這些潛在的攻擊者?

 

為何我要保護好密碼?

 

密碼這玩意就跟人類的歷史一樣古老。還記得阿里巴巴和四十大盜的名句「芝麻開門!」嗎?如果你熟悉這故事,你就知道為什麼強盜要用密碼來保護他們的寶藏了。

 

這就是我們現代密碼的功能。它是我們網路生活的鑰匙。密碼保護我們的身份和敏感資料(像是網路銀行身分認證和信用卡資料等)。這些資料對於我們來說就像是四十大盜的寶藏一樣。而就跟現實生活裡一樣,也有現代的小偷或網路犯罪份子會想去得到你寶貴的資料。一旦他們成功了,任何人都有可能成為網路犯罪分子的受害者,像是身份竊盜,甚或是在某些情況下會造成實際的金錢損失。

  繼續閱讀