[討論]遠端移除手機內的應用程式

看板NetSecurity (資安資訊安全)作者ggg12345 (ggg)時間15年前 (2010/06/29 19:25)推噓0(0推 0噓 0→)

留言0則, 0人參與討論串1/1

※ [本文轉錄自 Soft_Job 看板 #1CA7DOpz ] 作者: ggg12345 (ggg) 看板: Soft_Job 標題: [討論]遠端移除手機內的應用程式時間: Mon Jun 28 18:03:02 2010 1.藉助現有的大公司提供下載途徑, 這應該是一種提供木馬的新辦法. 2.但大公司竟然可以遠端刪除其他已下載的程式, 顯然大公司已經先放了一隻大木馬在裡面. 3.下載的木馬還是先隱藏的木馬, 顯然都免不了一戰, 雙方必定極盡隱蔽之能. 4.有這樣特異功能的手機還是用戶的嗎? 5.用戶可以有包藏木馬留著圈養的權利嗎 ? 6.如果寧可錯殺一百也不放走一個, 那用戶的權益算是有保障嗎? 7.大公司是不是要為開發者的程式因藏有木馬而負連帶 "包藏" "散播" 之責? 程式碼或資料會隨時間因缺乏維護(保護)以致隨壽命 "損耗", 以致自動滅亡似乎已人為地發生. 軟體銷售的新模式似乎已經到來 ??!! ========================================================================= http://www.zdnet.com.tw/news/software/0,2000085678,20146356,00.htm Google遠端移除Android手機內的應用程式 Google發言人表示，該公司已遠端移除數百支Android手機內的兩項免費應用程式，因為這兩項程式不符其當初申請之目的，違反Android開發者政策。這是Google第一次使用其Remote Application Removal Feature（遠端應用程式移除功能）。該公司可因安全理由，移除透過Android Market安裝的程式。製作並發行這兩項程式的開發者Jon Oberheide表示，這些是專門用來測試未來可在攻擊中控制 Android手機的概念驗證程式。其中一個程式（名為RootStrap），只會在手機螢幕上顯示一行"Hello World"訊息。第二個程式的作用相同，但偽裝成最新一集暮光之城電影（Twilight Saga: Eclipse）的預告片。RootStrap有大約50人次下載，第二個程式則有250至350次下載，但有些人不久後便自行移除。 Android Market遠端移除你手機中的程式後，會發出通知告知用戶。 Oberheide已開發出一種程式，可用來啟動一個隱藏程序，讓有心人藉由已安裝在手機內的應用程式，呼叫原生的伺服器，取得可利用該手機弱點的惡意程式。自稱為新創安全公司Scio Security工作的Oberheide表示：「攻擊者只要開發出看似合法的程式，然後在Android Market推出，就能建立龐大的下載基礎，而如果Android 作業系統或（Android用作基礎的）Linux有任何弱點，攻擊者便能尋找可用的程式，推到所有他控制的手機，藉由作業系統核心完全控制受害的手機。」在Google的要求下，Oberheide已自行將這兩個程式撤下Android Market。 Android安全首長Rich Cannings在公司部落格表示，這些程式除了可進入網際網路外，「沒有惡意使用的目的，且沒有獲准存取私人資料，或系統資源」。 Android Market開發者內容政策規定：「開發者不得上傳，或以其他方式提供…（可）誤導其使用目的之資訊的應用程式。」（陳智文/譯） ※ 編輯: ggg12345 來自: 140.115.4.12 (06/28 18:11) -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.115.4.12