一名安全研究人员表示,消费者的iTunes账户不太可能是被越南的iPhone开发商入侵的,
今天,一名安全研究人员表示,消费者的iTunes账户不太可能是被越南的iPhone开发商入侵的。
相反,更有可能的情况是,用户的信用卡是通过标准的网络钓鱼策略获得的,或者是被秘密安装在人们机器上的键盘记录器获取的,或者是iTunes账户被侵入是因为糟糕的密码操作。
芬兰赫尔辛基杀毒软件供应商F-Secure的安全顾问肖恩·沙利文(Sean Sullivan)说:“网络钓鱼似乎是更合理的解释。”
苏利文是在回答那些可以解释的情况苹果的索赔,大约400个iTunes账户被用来从iTunes App Store欺诈购买软件,这使得越南开发商Thuat Nguyen推出了42款iPhone应用。
阮的应用程序被删除了苹果指控他“违反了开发者程序许可协议,包括欺诈购买模式”。
“标准的网络钓鱼攻击,”Sullivan在被问及Nguyen获得iTunes账户的最有可能的方式时表示。“这比黑客入侵账户或苹果数据库的可能性要大得多,”他补充说。
钓鱼攻击——通常是由大量的垃圾邮件活动发起,引导用户进入虚假的iTunes账户页面——并不新鲜两年前.
具有讽刺意味的是,iTunes为用户提供的灵活性可能也是这一骗局的一部分,沙利文说。与其他在线零售商不同——沙利文以亚马逊(Amazon.com)为例——iTunes不会阻止使用偏远地区IP地址的电脑进行购物。iTunes用户最多可以授权五台电脑从商店购买音乐、应用程序或电影。
F-Secure测试了iTunes的权限。该公司驻芬兰的首席研究官米科·海波宁(Mikko Hypponen)在一位美国同事的许可下,通过他的账户成功购买了内容。“一个美国账户让我可以从芬兰访问iTunes,”同样住在赫尔辛基的沙利文说。“在亚马逊(Amazon)上试试,它会说,‘对不起,你在芬兰,你不能这么做。’”
这种灵活性将允许阮或其他生活在越南、中国或世界其他地方的人非法访问美国消费者的iTunes账户,并订购他的应用程序。这也解释了Nguyen的软件为何能登上美国App Store的畅销榜单,他的软件一度占据了前50名的40多席。
Nguyen是如何获得iTunes账户证书的仍然是个谜,但Sullivan表示,这些证书很容易被网络钓鱼攻击获取,而不是针对iTunes用户,而是针对更大范围的受害者。
“另一种可能性是,iTunes的密码是通过对Hotmail的钓鱼攻击获得的,雅虎邮件或Gmail。”Sullivan引用了三大免费网络电子邮件服务。
根据F-Secure的数据,有20%以上的上网用户使用单一密码进行所有的在线活动,包括购买账户。在这种情况下,一旦身份窃贼获得了Hotmail的登录凭证,他们就会尝试使用相同的用户名(iTunes依赖于这些用户的电子邮件地址)和苹果在线商店的相同密码。
沙利文说:“如果只有400个账户被使用,那么这些账户很有可能是通过针对Hotmail的网络钓鱼活动被获取的。”“在一次Hotmail钓鱼攻击中,你可以很容易地找到很多(iTunes密码)。”
阮不必亲自收集Hotmail、Yahoo Mail或Gmail账户凭证,沙利文指出:有很多犯罪团伙急于出售他们收集的信息。
沙利文说,消费者可以做几件事来保护自己不受类似骗局的伤害。他说:“父母为孩子购买iTunes礼品卡来设定消费限额,但使用它们对每个人来说都是一个很好的主意。”用户可以使用礼品卡创建iTunes账户,而无需输入信用卡。
沙利文说:“这样,如果你的账户被钓鱼,或者苹果的数据库被入侵,你的信用卡就不会有风险。”
Gregg Keizer为Computerworld报道微软、安全问题、苹果、网络浏览器和一般技术突发新闻。在Twitter上关注格雷格@gkeizer或订阅格雷格的RSS提要.他的电子邮件地址是gkeizer@ix.netcom.com.
阅读更多关于麦金塔的信息在计算机世界的麦金塔主题中心
这篇报道,“安全专家说,iPhone应用程序骗局可能是由网络钓鱼引发的”,最初发表于《计算机世界》 .