遠端移除手機內的應用程式 - 資安

※ [本文轉錄自 Soft_Job 看板 #1CA7DOpz ]

作者: ggg12345 (ggg) 看板: Soft_Job
標題: [討論]遠端移除手機內的應用程式
時間: Mon Jun 28 18:03:02 2010

1.藉助現有的大公司提供下載途徑, 這應該是一種提供木馬的新辦法.
2.但大公司竟然可以遠端刪除其他已下載的程式, 顯然大公司已經先放了一隻大
木馬在裡面.

3.下載的木馬還是先隱藏的木馬, 顯然都免不了一戰, 雙方必定極盡隱蔽之能.

4.有這樣特異功能的手機還是用戶的嗎?

5.用戶可以有包藏木馬留著圈養的權利嗎 ?

6.如果寧可錯殺一百也不放走一個, 那用戶的權益算是有保障嗎?
7.大公司是不是要為開發者的程式因藏有木馬而負連帶 "包藏" "散播" 之責?

程式碼或資料會隨時間因缺乏維護(保護)以致隨壽命 "損耗", 以致自動滅亡似
乎已人為地發生.

軟體銷售的新模式似乎已經到來 ??!!


=========================================================================

http://www.zdnet.com.tw/news/software/0,2000085678,20146356,00.htm

Google遠端移除Android手機內的應用程式


Google發言人表示，該公司已遠端移除數百支Android手機內的兩項免費應用程式，
因為這兩項程式不符其當初申請之目的，違反Android開發者政策。

這是Google第一次使用其Remote Application Removal Feature（遠端應用程式移除
功能）。該公司可因安全理由，移除透過Android Market安裝的程式。 製作並發行這
兩項程式的開發者Jon Oberheide表示，這些是專門用來測試未來可在攻擊中控制
Android手機的概念驗證程式。

其中一個程式（名為RootStrap），只會在手機螢幕上顯示一行"Hello World"訊息。第
二個程式的作用相同，但偽裝成最新一集暮光之城電影（Twilight Saga: Eclipse）的
預告片。RootStrap有大約50人次下載，第二個程式則有250至350次下載，但有些人不
久後便自行移除。



Android Market遠端移除你手機中的程式後，會發出通知告知用戶。

Oberheide已開發出一種程式，可用來啟動一個隱藏程序，讓有心人藉由已安裝在手
機內的應用程式，呼叫原生的伺服器，取得可利用該手機弱點的惡意程式。

自稱為新創安全公司Scio Security工作的Oberheide表示：「攻擊者只要開發出看似
合法的程式，然後在Android Market推出，就能建立龐大的下載基礎，而如果Android
作業系統或（Android用作基礎的）Linux有任何弱點，攻擊者便能尋找可用的程式，
推到所有他控制的手機，藉由作業系統核心完全控制受害的手機。」

在Google的要求下，Oberheide已自行將這兩個程式撤下Android Market。

Android安全首長Rich Cannings在公司部落格表示，這些程式除了可進入網際網路外，
「沒有惡意使用的目的，且沒有獲准存取私人資料，或系統資源」。

Android Market開發者內容政策規定：「開發者不得上傳，或以其他方式提供…（可）
誤導其使用目的之資訊的應用程式。」（陳智文/譯）


※ 編輯: ggg12345 來自: 140.115.4.12 (06/28 18:11)

--