据国外媒体报道,Symbian基金会周六承认,需要改善其数字签名审核流程,以避免再次发生特洛伊木马程序通过审核的问题。
Symbian基金会首席安全技术官克雷格·希思(Craig Heath)上周四称,一款名为“性感空间”的木马程序通过了该基金会的数字签名审核。他同时表示,该组织正在改善其数字签名审核流程。希思说:“我们会对提交的应用程序进行扫描并筛选,目前我们正在改善扫描流程。”开发人员必须向Symbian基金会提交所开发的手机应用程序,以确定该程序可以被安装Symbian操作系统的手机所接受,一旦应用程序通过审查,将会获得该基金会的数字签名。数字签名一般用于保证软件的可信度。
Symbian基金会审核流程的第一步是利用反病毒引擎对应用程序自动进行病毒扫描,一旦扫描通过,将抽取随机样本提交给人工审核。希思表示,伪装成合法的ACSServer.exe的“性感空间”木马程序并没有提交给人工审核。Symbian基金会在两周前注意到“性感空间”是一个木马程序,并撤回了对该应用的数字签名。但由于Symbian服务器存在问题,该应用直到本周才停止提供下载。
Symbian数字签名网站显示,该基金会使用了芬兰公司F-Secure的病毒扫描服务,后者首席研究官米可·海波宁(Mikko Hypponen)上周五表示,该恶意软件作者可能专门针对F-Secure的反病毒引擎进行了测试,以躲过病毒扫描。他认为:“病毒作者对恶意软件进行扫描,并不断修改直至可以通过F-Secure的病毒过滤,此举显然可以并确实绕过了签名审核流程。”
海波宁表示,Symbian对手机应用采用分级数字签名审核流程,“性感空间”通过了该基金会的快速数字签名审核流程,该流程专门针对免费软件。他认为:“这显示快速数字签名审核流程并非无懈可击,但仍比没有获得数字签名的应用更为安全。”
希思表示,Symbian正在升级其自动扫描流程,同时也将改善人工审核环节。但受成本以及流程时间限制,人工审核不太可能进行扩充。该基金会希望将更多与应用程序发布相关的工作转为自动化处理。7月16日,Symbian基金会宣布将推出应用程序商店“Horizon”,同时表示:“目前Symbian的大多数应用发布流程仍需要手工处理,我们的目标是在不远的将来开发出一套可以发布应用的自动化系统。”