安全专家警告说,随着智能手机成为钱包,扒手圈不断

eEye首席技术官Marc Maiffret警告说,Android,iPhone和BlackBerries每天变得越来越像钱包,而且坏人也开始注意到。

智能手机用户有两点需要担心。首先,这些设备具有与十年前困扰PC的相同的老式漏洞。其次,随着手机变得更像钱包,这些缺陷将使在线窃贼更容易选择口袋。

据那一天快到了 eEye联合创始人兼首席技术官Marc Maiffret.

” Maiffret说:“我们还没有看到很多智能手机攻击,因为它更容易进入台式机。 “但是这种情况将会改变,因为智能手机正变得越来越像钱包,其应用程序支持在设备上进行银行业务。手机上将包含更多敏感数据,这对于攻击者来说更有价值。”

使问题更加复杂的是,智能手机制造商在重复十多年前计算机制造商所犯的旧错误。具体来说,在急于将新技术推向市场时,开发人员忽略了安全性。的 确保开发生命周期 您听说过的不适用于智能手机-到目前为止。

Maiffret说:“最新出现的iPhone越狱工具之一是去一个加载了.pdfs的网站,该网站导致了代码执行。这是我们在Windows环境中多年来看到的经典风格的攻击。”

有关智能手机安全的更多信息

Maiffret表示,随着智能手机市场的竞争日趋激烈-苹果,RIM和Android争夺市场份额-危险只会加剧,并补充说:“目前还没有一家智能手机开发商表示他们正在做的工作要迟两个月,因为他们必须从事安全工作。我向你保证。”

当然,Maiffret不是第一个进行此观察的安全研究员。两个月前在多伦多举行的SecTor安全会议上,Intrepidus Group研究人员Zach Lanier和Mike Zusman作了演讲,重点介绍了困扰智能手机的所有旧缺陷。

两人开始将移动电话应用程序分开,以查看它们使它们产生变化的原因,并发现我们对应用于智能电话的PC上的教训的假设是错误的。他们通过许多手机上的Web应用程序中发现的一些老式缺陷的例子,引导他们的听众。

Lanier说,需要解决的问题在开发人员方面。为了满足渴望购买新应用程序的智能手机用户的需求,PC领域在1999-2000年间犯了同样的错误。在查看了诸如Android和BlackBerry之类的更流行的手机之后,两人发现了:

    在Foursquare之类的应用程序上拦截个人凭据非常简单。
  • 存储应用程序(在那些喜欢在手机上存储和轻松检索音乐和视频的用户中很流行)包含安全漏洞,攻击者可能利用这些漏洞导致拒绝服务或绕过数字版权管理控件。
  • 基于运营商的应用倾向于信任您,仅仅是因为您碰巧在运营商网络上。
  • 在这方面,第三方应用有时比基于运营商的应用要好,但是对开放标准的支持仍然不完全。
  • 中间人攻击在各个方面都相当琐碎。
  • 一个坏家伙重播一个很琐碎的事 用户通过BlackBerry的第三方上传应用程序上传图片的请求 并将自己的潜在恶意文件发送到随机帐户。祖斯曼说,图片上传功能中存在注入缺陷,注入它们自己的XML属性非常简单。

Lanier和Zusman得出结论,在手机Web应用程序世界中,缺乏针对开发人员的指导,标准和最佳实践。

拉尼尔说:“十年前,我们了解了许多这些弱点。” “我们忘记了已经学到的教训。”

版权© 2010 IDG通讯,Inc.