Symbian基金會(huì)稱(chēng)將改善數(shù)字簽名審核流程
2009/07/20
Symbian基金會(huì)周六承認(rèn),需要改善其數(shù)字簽名審核流程,以避免再次發(fā)生特洛伊木馬程序通過(guò)審核的問(wèn)題。
Symbian基金會(huì)首席安全技術(shù)官克雷格·希思(Craig Heath)上周四稱(chēng),一款名為“性感空間”的木馬程序通過(guò)了該基金會(huì)的數(shù)字簽名審核。他同時(shí)表示,該組織正在改善其數(shù)字簽名審核流程。希思說(shuō):“我們會(huì)對(duì)提交的應(yīng)用程序進(jìn)行掃描并篩選,目前我們正在改善掃描流程。”開(kāi)發(fā)人員必須向Symbian基金會(huì)提交所開(kāi)發(fā)的手機(jī)應(yīng)用程序,以確定該程序可以被安裝Symbian操作系統(tǒng)的手機(jī)所接受,一旦應(yīng)用程序通過(guò)審查,將會(huì)獲得該基金會(huì)的數(shù)字簽名。數(shù)字簽名一般用于保證軟件的可信度。
Symbian基金會(huì)審核流程的第一步是利用反病毒引擎對(duì)應(yīng)用程序自動(dòng)進(jìn)行病毒掃描,一旦掃描通過(guò),將抽取隨機(jī)樣本提交給人工審核。希思表示,偽裝成合法的ACSServer.exe的“性感空間”木馬程序并沒(méi)有提交給人工審核。Symbian基金會(huì)在兩周前注意到“性感空間”是一個(gè)木馬程序,并撤回了對(duì)該應(yīng)用的數(shù)字簽名。但由于Symbian服務(wù)器存在問(wèn)題,該應(yīng)用直到本周才停止提供下載。
Symbian數(shù)字簽名網(wǎng)站顯示,該基金會(huì)使用了芬蘭公司F-Secure的病毒掃描服務(wù),后者首席研究官米可·海波寧(Mikko Hypponen)上周五表示,該惡意軟件作者可能專(zhuān)門(mén)針對(duì)F-Secure的反病毒引擎進(jìn)行了測(cè)試,以躲過(guò)病毒掃描。他認(rèn)為:“病毒作者對(duì)惡意軟件進(jìn)行掃描,并不斷修改直至可以通過(guò)F-Secure的病毒過(guò)濾,此舉顯然可以并確實(shí)繞過(guò)了簽名審核流程。”
海波寧表示,Symbian對(duì)手機(jī)應(yīng)用采用分級(jí)數(shù)字簽名審核流程,“性感空間”通過(guò)了該基金會(huì)的快速數(shù)字簽名審核流程,該流程專(zhuān)門(mén)針對(duì)免費(fèi)軟件。他認(rèn)為:“這顯示快速數(shù)字簽名審核流程并非無(wú)懈可擊,但仍比沒(méi)有獲得數(shù)字簽名的應(yīng)用更為安全。”
希思表示,Symbian正在升級(jí)其自動(dòng)掃描流程,同時(shí)也將改善人工審核環(huán)節(jié)。但受成本以及流程時(shí)間限制,人工審核不太可能進(jìn)行擴(kuò)充。該基金會(huì)希望將更多與應(yīng)用程序發(fā)布相關(guān)的工作轉(zhuǎn)為自動(dòng)化處理。7月16日,Symbian基金會(huì)宣布將推出應(yīng)用程序商店“Horizon”,同時(shí)表示:“目前Symbian的大多數(shù)應(yīng)用發(fā)布流程仍需要手工處理,我們的目標(biāo)是在不遠(yuǎn)的將來(lái)開(kāi)發(fā)出一套可以發(fā)布應(yīng)用的自動(dòng)化系統(tǒng)。”
新浪科技(tech.sina.com.cn)
相關(guān)鏈接:
英超|
三明市|
南丹县|
西昌市|
青州市|
久治县|
太保市|
车险|
双辽市|
科技|
扎赉特旗|
嵊州市|
天津市|
靖边县|
喀喇沁旗|
方山县|
娱乐|
金阳县|
崇义县|
荔浦县|
朔州市|
南和县|
盘锦市|
东港市|
黎川县|
峨边|
大化|
赫章县|
贵定县|
潜山县|
宁明县|
婺源县|
宁陵县|
本溪|
盐源县|
岐山县|
昭苏县|
平武县|
荔波县|
农安县|
理塘县|