Владельцы смартфонов добровольно собираются в ботнет10/03/2010 14:01
Просмотров: 342 Специалисты компании TippingPoint в качестве эксперимента создали вредоносное мобильное приложение, замаскированное под невинную программу для прогнозов погоды. В течение короткого времени это приложение скачало около 7800 владельцев iPhone и Android-телефонов, сообщает DarkReading. Приложение WeatherFist действительно прогнозирует погоду (для чего берёт информацию с сайта Weather Underground), но при этом втайне от пользователя собирает о нём ряд данных, включая номер телефона и его GPS-координаты, и отсылает их на сервер разработчиков. Обе версии приложения — для iPhone и Android — распространялись не через официальные магазины Apple и Google, где программный код мог быть предварительно проверен, а при помощи сторонних сайтов. Это, в частности, означает, что WeatherFist могли скачать и установить только владельцы разлоченных "айфонов". Возможно, именно по этой причине подавляющее большинство пользователей WeatherFist (более 90%, как сообщает New Scientist) оказались владельцами Android-трубок. Надо отметить, что WeatherFist является довольно безобидным приложением. GPS-координаты ему нужны в любом случае, поскольку с их помощью как раз и даются актуальные для пользователя метеопрогнозы. Тем не менее пользователи предоставили создателям этого приложения практически полный доступ к своим телефонам. Причём сделали это добровольно, ибо либо предварительно разлочили "айфоны", либо, в случае с Android OS, просмотрели предупреждение об опасности загрузки приложения со стороннего сайта и одобрили список прав, затребованных приложением. Исследователи также создали более опасную версию программы — WeatherFistBadMonkey, которая, в дополнение к вышеперечисленному, умеет собирать контакты, cookie-файлы и другие критические данные, а также рассылать спам. Правда, это приложение они установили только на собственные телефоны, хотя и имели все возможности для того, чтобы раздать его юзерам. По мнению исследователей, их эксперимент показывает, насколько легко создать мобильный ботнет, используя всего лишь метод социальной инженерии. По их данным, уже через час после появления WeatherFist на сайтах для мобильных приложений SlideME и ModMyI эту программу скачали 126 человек, а к концу первых суток их было более 1800. Грэм Клули (Graham Cluley) из Sophos по этому поводу выразил недоумение, напоминая, что подобные эксперименты уже проводились в прошлом. "Мне не очень понятно, зачем исследователи TippingPoint ощутили необходимость в распространении своего приложения, чтобы доказать то, что и так известно и даже наверняка было осуществлено киберпреступниками в реальной жизни", — говорит он.
Источник
Самые свежие новости:
29/07/2010 15:04 - На конференции Black Hat хакер показал новый способ взлома банкоматов
29/07/2010 14:21 - Серьёзная уязвимость в QuickTime
29/07/2010 13:54 - Провайдер Комсомольска-на-Амуре отказывается блокировать YouTube
29/07/2010 12:29 - В закон DMCA внесены существенные смягчающие поправки
29/07/2010 11:47 - Microsoft публикует первые данные об Office 2011 for Mac
29/07/2010 11:35 - Ошибка госслужащего США привела к утечке данных 139 тыс. человек
29/07/2010 11:04 - Британские власти собирают юных хакеров
29/07/2010 10:52 - "Маяк" напугал россиян перезагрузкой Интернета
29/07/2010 10:28 - MySpace и Hulu поймали на воскрешении удаленных cookie
29/07/2010 10:17 - МТС запустила первую в СНГ сеть LTE
29/07/2010 09:49 - В Словении арестовали трех создателей гигантского ботнета
29/07/2010 09:18 - В России насчитали 60 миллионов интернет-пользователей
28/07/2010 10:11 - Уязвимость в Apple Safari позволяет злоумышленникам собирать персональные данные
28/07/2010 09:57 - DDoS помог Альфа-Банку сманить "Аэрофлот"
28/07/2010 09:34 - Частоты 4G разделят на закрытом заседании
|