Symbian基金會(huì)稱將改善數(shù)字簽名審核流程
2009/07/20
Symbian基金會(huì)周六承認(rèn),需要改善其數(shù)字簽名審核流程,以避免再次發(fā)生特洛伊木馬程序通過審核的問題。
Symbian基金會(huì)首席安全技術(shù)官克雷格·希思(Craig Heath)上周四稱,一款名為“性感空間”的木馬程序通過了該基金會(huì)的數(shù)字簽名審核。他同時(shí)表示,該組織正在改善其數(shù)字簽名審核流程。希思說:“我們會(huì)對提交的應(yīng)用程序進(jìn)行掃描并篩選,目前我們正在改善掃描流程。”開發(fā)人員必須向Symbian基金會(huì)提交所開發(fā)的手機(jī)應(yīng)用程序,以確定該程序可以被安裝Symbian操作系統(tǒng)的手機(jī)所接受,一旦應(yīng)用程序通過審查,將會(huì)獲得該基金會(huì)的數(shù)字簽名。數(shù)字簽名一般用于保證軟件的可信度。
Symbian基金會(huì)審核流程的第一步是利用反病毒引擎對應(yīng)用程序自動(dòng)進(jìn)行病毒掃描,一旦掃描通過,將抽取隨機(jī)樣本提交給人工審核。希思表示,偽裝成合法的ACSServer.exe的“性感空間”木馬程序并沒有提交給人工審核。Symbian基金會(huì)在兩周前注意到“性感空間”是一個(gè)木馬程序,并撤回了對該應(yīng)用的數(shù)字簽名。但由于Symbian服務(wù)器存在問題,該應(yīng)用直到本周才停止提供下載。
Symbian數(shù)字簽名網(wǎng)站顯示,該基金會(huì)使用了芬蘭公司F-Secure的病毒掃描服務(wù),后者首席研究官米可·海波寧(Mikko Hypponen)上周五表示,該惡意軟件作者可能專門針對F-Secure的反病毒引擎進(jìn)行了測試,以躲過病毒掃描。他認(rèn)為:“病毒作者對惡意軟件進(jìn)行掃描,并不斷修改直至可以通過F-Secure的病毒過濾,此舉顯然可以并確實(shí)繞過了簽名審核流程!
海波寧表示,Symbian對手機(jī)應(yīng)用采用分級數(shù)字簽名審核流程,“性感空間”通過了該基金會(huì)的快速數(shù)字簽名審核流程,該流程專門針對免費(fèi)軟件。他認(rèn)為:“這顯示快速數(shù)字簽名審核流程并非無懈可擊,但仍比沒有獲得數(shù)字簽名的應(yīng)用更為安全!
希思表示,Symbian正在升級其自動(dòng)掃描流程,同時(shí)也將改善人工審核環(huán)節(jié)。但受成本以及流程時(shí)間限制,人工審核不太可能進(jìn)行擴(kuò)充。該基金會(huì)希望將更多與應(yīng)用程序發(fā)布相關(guān)的工作轉(zhuǎn)為自動(dòng)化處理。7月16日,Symbian基金會(huì)宣布將推出應(yīng)用程序商店“Horizon”,同時(shí)表示:“目前Symbian的大多數(shù)應(yīng)用發(fā)布流程仍需要手工處理,我們的目標(biāo)是在不遠(yuǎn)的將來開發(fā)出一套可以發(fā)布應(yīng)用的自動(dòng)化系統(tǒng)。”
新浪科技(tech.sina.com.cn)
相關(guān)鏈接: