Tap Snake是上世纪七十年代一款名为snake的视频游戏的最新版本,玩家可以在谷歌Android Market在线商店下载该游戏。
以上两家安全公司相继在本周发出警告,称尽管该软件外观伪装成一个小游戏,但用一个价格为4.99美元的商业监视软件“GPS Spy”就可以获取到目标信息,开发人员利用这点来满足一些用户希望隐形监视的需求。
伪装成小游戏的客户端应用已经被下载了1000-5000次,服务器端则下载了100-500次,赛门铁克已经将其归类为恶意程序,主要原因是在实施窥探操作时没有提供足够的提醒。
一旦安装该游戏软件,第三方就可以接入采用Android系统的设备,并对游戏进行编程,进而该软件就会在任何时间秘密向运行GPS Spy的设备或服务器发回用户的GPS位置信息。开发人员将Tap Snake设计成能够在Android系统环境中持续运行。
赛门铁克在其警告中指出:“GPS Spy接收Tap Snake传回的数据信息,并使用该项服务将用户所在的位置信息轻易地显示在Google Maps上。这样就可以追踪使用Android系统手机用户曾经去过哪里,很多人连想都想不到这种追查方式。”
传回的GPS数据包括数据传输的日期、时间以及当时使用者的地理位置信息。
F-Secure的安全研究人员Sean Sullivan指出,潜在黑客需要亲手在目标用户使用的Android设备上对该游戏软件进行编程才能够激活该软件的追踪功能。
Sullivan表示,为了能够在第三方使用GPS Spy实现追踪,黑客需要在移动设备上安装该游戏软件,然后输入电子信箱地址和具体的“密匙”完成游戏注册。而只有在第三方安装有GPS Spy的手机上输入相同的注册信息才能够实现追踪功能。
Sullivan还指出,尽管此前出现过很多针对Android、iPhone和其他移动设备的类似追踪软件,但“Tap Snake的不寻常之处在于,在用户注册该游戏时,该软件并没有提供自己的真实信息。用户输入电子信箱地址和密码后,该软件在没有任何提醒的状态下就开始追踪工作了。”
赛门铁克在警告中指出:“目前,用户使用的很多应用程序都有类似的功能,并直接就把用户的信息公布出去了。这些程序把自己伪装得和其他程序一样,我们考虑主要原因就是该程序属于木马程序的一种。”
尽管该木马程序允许进行大批侵入式追踪,但其对用户的风险相对较低。因为该程序要求黑客必须亲自接触被追踪设备安装的Android系统。Sullivan表示,尽管如此,用户还是应该谨慎设置和保管手机密码以保护自己的手机不被黑客利用。Sullivan称:“一旦你的手机有密码锁定保护,任何人都无法接近它。”
谷歌的一位新闻发言人出面表示,安全公司对于应用软件程序的担忧是夸大其词。这位新闻发言人在一封电子邮件声明中称:“用户在安装任何一款程序时,都会看到对该程序使用哪些信息和系统资源解释得非常清楚的界面。”
该发言人在声明中还称:“用户必须明确批准这种接入信息才能够继续安装,而且用户还可以在任何时间卸载该程序。用户还可以参考程序评级和对该程序的评论以决定选择安装哪款程序。我们一如既往地建议用户只安装他们认为可靠的程序。”