sobota 7. července 2012

Find and Call - První malware pro iPhone?

Firma Kaspersky upozornila na problematické chování aplikace Find and Call pro iOS (a též její varianty pro Android).
Stručně - pokud si tuto aplikaci někdo nainstaloval a spustil, všem lidem, které měl na telefonu v adresáři, přišla z jeho telefonního čísla sms s výzvou, aby si tuto aplikaci nainstalovali a mohli si s ním přes ni volat. Kaspersky to označili za malware a Apple poté tuto aplikaci vyřadil z AppStoru.
Aplikace byla pravděpodobně v ruském AppStoru a komunikovala výhradně rusky a v azbuce. Ze screenshotů, které jsem na netu našel, tipuji, že se tvářila jako aplikace pro bezplatné telefonování a posílání textových zpráv přes Internet.
Po spuštění byl uživatel vyzván k registraci zadáním své e-mailové adresy a telefonního čísla, načež se ho aplikace zeptala, zda má nalézt v jeho adresáři lidi, kteří také tuto aplikaci používají a se kterými může přes ni komunikovat. V tu chvíli aplikace odeslala obsah adresáře telefonu na firemní server.
To není vůbec pěkné, ale ani mimořádné - tak se chová celá řada používaných aplikací tohoto typu (např. Path) a je to pochopitelné řešení (byť mně osobně se nelíbí a tyto aplikace raději nepoužívám - nechci vyměnit osobní údaje přátel za možnost poslat jim "zdarma" sms).
To ošklivé se stalo následně:
  • Všichni lidé z adresáře dostali nevyžádanou sms s výzvou k instalaci aplikace
  • SMS se tvářila, že přišla z mobilního čísla toho, kdo si aplikaci nainstaloval - příjemci si tedy museli myslet, že jim ji poslal on sám osobně
  • Aplikace se tedy tímto způsobem "sama" šířila
Autor aplikace se brání nařčení ze zlých úmyslů tím, že
  • Údajně šlo o chybu systému - špatně vymyšlenou reklamní kampaň
  • Telefonní číslo odesílatele sms je podvržené - sms rozesílal ve skutečnosti jejich server, neposílal je telefon uživatele a tudíž je uživatel neplatil a neutrpěl žádnou škodu
Aplikací, které si vyžádají přístup k adresáři a pak ho někam odešlou, je celkem dost - např. ještě Tango Video Calls. Aplikace o to musí uživatele požádat, ovšem ten to odklikne s vidinou, že dostane něco zdarma. Někdy to může být na první pohled nenápadné (případ aplikace pro LinkedIn), jindy uživatelé naprosto nechápou o co jde a poslušně splní vše, co po nich aplikace chce a neuvažují nad možností případného zneužití (viz Facebook a podobné služby s jejich vnucujícím se "teď zadejte své login a heslo od vašeho e-mailu"). Případ Find and Call je podle mého názoru význačný tím, že na tento problém upozorňuje.

 

Žádné komentáře: