iPhone到底安全不安全？

iPhone到底安全不安全？

4天之内，iPhone上就出现了两个蠕虫病毒，而且两个蠕虫都针对的是同一个漏洞，也就是安装在破解的iPhone手机上SSH Server的默认密码。其中一个蠕虫顶多是骚扰而已，但第二个蠕虫却可以从iPhone上盗取个人信息，已经是危险的身份盗贼了。
这个漏洞只是在已经破解的iPhone上存在，也就是说它已经可以安装来自其他资源而不是苹果iTunes系统的软件。而安装在破解iPhone上的首批应用之一就是Secure Shell(SSH)Server，它的作用是把被加密的终端连接到一个命令行界面上。通过SSH，用户便可在iPhone上运行基本的Unix命令，使用起来非常方便。我就已经破解了我的iPod Touch，它跟iPhone的结构几乎一模一样。SSH自身非常安全，但是首次安装它的时候，会提供一个默认的根密码，以便于用户可以进行首次连接。其实很多的破解软件在安装时都有这个问题，也会提示用户安装完之后立刻修改默认密码，可惜，很少有人会这么做。

一周前出现的第一个蠕虫更多的只是为了证明一种说法而已，它会把歌星Rick Astley的照片显示在用户的iPhone上。这个蠕虫的作者叫“ikee”，他把Rick Astley的图像安装成默认的手机壁纸，还会蹦出一条信息：“ikee绝不会抛弃你”。防病毒厂商Sophos在一篇博客中分析了这个蠕虫，并提供了该蠕虫的代码样本。

这个蠕虫虽然无害，但是要清除它却不容易。阅读该蠕虫的源代码，你会看到作者的注释：“人是愚蠢的，这个病毒就是要证明这个说法。”这可能就是在警示你在安装了SSH后应立刻更改密码。

就在这个蠕虫出现不到一周，Mac安全厂商Intego又发现了第二个蠕虫，针对的是同样的漏洞。和ikee不同的是，这个叫“iPhone/隐私.A”的蠕虫不再只是一种骚扰或证明概念了。这个蠕虫驻留在PC上，会扫描IP地址空间，捕捉带默认SSH密码的iPhone Wi-Fi连接。一旦它发现了这种连接，就会盗取用户的所有个人数据，包括邮件、联系人、电话薄和其他数据。没有迹象表明这个蠕虫是同一个作者所为。

这两个蠕虫都没有针对系统本身的漏洞。破解过程本身也不是这个漏洞的原因。两个蠕虫都说明，黑客们的兴趣正在向移动平台转移，尤其是向非常受欢迎的iPhone转移。有报道称，目前遭破解的iPhone大约占到了6%到8%，看来这类蠕虫大有用武之地了。而不幸的是，这还只是针对移动设备攻击的开始，尽管十年前大多数安全专家们就已预见到了这一点，但是很遗憾，除了基本的防火墙和不开放的一组安全应用之外，移动设备仍然没有很好的安全控制手段。可以说，移动设备的安全令人担忧