Onderzoekers van TippingPoint hebben tijdens de RSA conferentie gedemonstreerd hoe eenvoudig het is om mensen met een smartphone zichzelf te laten besmetten. Derek Brown en Daniel Tijerina maakten een weerapplicatie voor de iPhone en Google Android, genaamd WeatherFist. In werkelijkheid ging het om een programma dat informatie over gebruikers verzamelde. De applicatie werd op verschillende marktplaatsen voor Androids en gejailbreakte iPhones aangeboden. Apple's AppStore was volgens de onderzoekers geen optie, aangezien de applicaties redelijk goed gecontroleerd worden.
Marktplaats
Apple voorziet de applicaties van een digitale handtekening en verbiedt dat de software naar huis belt of over zelf gemaakte API's beschikt. Goedgekeurde iPhone apps draaien in een sandbox, die voorkomt dat ze toegang tot gegevens krijgen waar ze eigenlijk geen toestemming voor hebben. Ook de officiële Android marktplaats was voor de onderzoekers te streng.
Er zijn echter voldoende andere websites om applicaties aan te bieden, zoals de SlideME en ModMyI sites. Na een dag hadden al bijna 1.700 mensen de software gedownload. De laatste keer dat de onderzoekers naar het aantal downloads keken stond de teller op bijna 8.000. "Dit was echt een verrassing, omdat het kwaadaardige code is, dat zijn veel bots die we kunnen besturen", zegt Tijerina.
Misbruik
De onderzoekers willen met hun experiment het gevaar van een mobiel botnet aantonen. Daarvoor ontwikkelden ze ook een applicatie genaamd WeatherFistBadMonkey, die contactgegevens, cookies en fysieke adressen verzamelde, maar ook spam kan versturen. Dit programma werd door Brown en Tijerina alleen op hun eigen smartphone uitgeprobeerd. Vanwege de kans op misbruik zijn de onderzoekers dan ook niet van plan om het programma te verspreiden.
Deze posting is gelocked. Reageren is niet meer mogelijk.