原文网址：http://www.cnetnews.com.cn/2013/0817/2172746.shtml

CNET科技资讯网 8月17日 国际报道 研究人员再次绕过苹果应用的安全审批程序，将恶意软件上传到苹果应用商店，以此来证明它存在的安全漏洞。

据麻省理工学院《科技评论》报导，来自佐治亚理工学院的一组研究人员开发出了一款应用，能够假扮成一款新闻阅读器，悄悄绕开苹果的安全机制，使得攻击者在向用户打电话的同时可以将其假扮应用程序本身改编成恶意软件。

一旦远程配置成功，该软件就可以通过远程控制做许多事情，如发短信、发电子邮件、发布Tweet更新、拍照、打电话，甚至重启系统等。

研究人员说道，在该软件测试过程中，苹果仅用了几秒钟的时间运行此应用。而且一旦该应用被发布到应用商店，研究人员便迅速将其删除，以成功阻止用户将它安装进手机设备中去。

这次采用的测试方法和结果出现在今年三月份，本周被发表在华盛顿特区的UNSENIX安全研讨会上。

苹果向《科技评论》表示，尽管目前尚不清楚该公司对其应用的审查过程是否有所改变，但自了解到这项研究的漏洞细节后，苹果便已经更改、完善了它的iOS安全机制。

这并不是第一位研究员偷偷逃过苹果安全审核将恶意软件上架苹果应用商店，来证明苹果应用商店存在安全漏洞的行为了。例如，一名众所周知的安全研究员查理·米 勒（Charlie Miller）（他目前是Twitter雇员），针对苹果的产品和服务研究多年，在2011年也制作了一个恶意程序模型，测试其软件的缺陷。当时米勒发布 了一个名为InstaStock的通用盘点程序，该程序能够潜入他自己的服务器，并获取他的一些代码。这种行为导致他被苹果解雇，离开了作为每个公司应用 商店指南的苹果开发者计划。

苹果一直吹嘘其应用商店的安全性，公司高管们甚至一次作为抨击其竞争对手的有力武器。在三星Galaxy S4于三月份发布前夕，苹果营销主管菲尔·席勒（Phil Schiller）曾写道“在那里注意安全”，并发表了一篇来自F-Secure的报导链接，该报导侧重于加强对Android系统的安全威胁。此外，席勒还曾接受过路透社和《华尔街日报》的采访，抨击Android平台的其他方面。

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)