三星手機(jī) 被曝存安全漏洞

美安全公司發(fā)布報告稱 攻擊者可安裝惡意軟件 竊取超6億用戶信息 三星表示將推送安全補(bǔ)丁

據(jù)美國有線電視新聞網(wǎng)（CNN）日前報道，美國網(wǎng)絡(luò)安全公司NowSecure發(fā)布最新報告稱，的鍵盤應(yīng)用存在漏洞，用戶的大量信息可能因此被泄露。而這一漏洞，在大量三星的移動設(shè)備中暫時未得到修復(fù)，其中包括最新款的Galaxy S6等，波及全球超6億用戶。

NowSecure發(fā)言人艾森·拉塞爾在接受《法制晚報》記者采訪時表示，三星手機(jī)存在的漏洞可能被黑客利用，竊取用戶通訊錄、短信、照片等重要信息。

對此，三星公司予以回應(yīng)稱，三星在今年3月就為該漏洞提供了補(bǔ)丁，但運(yùn)營商可能沒有及時推送，三星在未來數(shù)天內(nèi)還會推出修復(fù)措施。

漏洞曝光

三星手機(jī)鍵盤程序 可被黑客利用控制手機(jī)

SwiftKey是一款鍵盤應(yīng)用，預(yù)裝在多款三星手機(jī)上，也可以通過谷歌和蘋果的應(yīng)用商店下載。美國安全公司NowSecure的報告稱，它可以允許遠(yuǎn)程攻擊者控制用戶的網(wǎng)絡(luò)流量，并在手機(jī)上執(zhí)行任意代碼。該軟件是無法被卸載的，即使SwiftKey沒有被設(shè)置為默認(rèn)鍵盤，攻擊者依然可以利用該漏洞。

SwiftKey在手機(jī)當(dāng)中擁有很高的權(quán)限，可獲取當(dāng)中的大部分功能。通過利用這一漏洞，攻擊者幾乎獲得了完全控制權(quán)，讓他們可以在設(shè)備上進(jìn)行任何操作，比如秘密安裝惡意軟件，使用設(shè)備的攝像頭、麥克風(fēng)和GPS，竊聽通話、更改其他應(yīng)用，甚至是竊取照片和短信。

NowSecure表示，他們在去年12月就已經(jīng)將該漏洞通報給三星、美國計算機(jī)應(yīng)急響應(yīng)小組和谷歌的Android團(tuán)隊(duì)。

三星雖然在今年年初向運(yùn)營商提供了修復(fù)補(bǔ)丁，但是目前并不清楚手機(jī)的運(yùn)營商是否為用戶的設(shè)備進(jìn)行了修復(fù)。由于三星手機(jī)的型號以及全球運(yùn)營商網(wǎng)絡(luò)數(shù)量等因素，并不確定到底有多少手機(jī)用戶仍然處于易被攻擊的狀態(tài)。

報道稱，讓人擔(dān)憂的是，本次曝光的漏洞波及范圍非常之大，所影響的設(shè)備數(shù)量超過了6億，包括三星Galaxy S6、S5、S4和S4 mini在內(nèi)的機(jī)型，以及Verizon、AT&T、Sprint和T-Mobile等運(yùn)營商版本都無一幸免。

根據(jù)NowSecure的建議，用戶目前最好避免使用不安全的Wi-Fi網(wǎng)絡(luò)，或是暫時更換其他品牌的移動設(shè)備。

記者追訪

報告發(fā)布公司：三星漏洞為“嚴(yán)重錯誤”

發(fā)布此次安全報告的NowSecure公司發(fā)言人艾森·拉塞爾接受法晚記者采訪時表示，SwiftKey這一內(nèi)置應(yīng)用程序不僅僅只有三星手機(jī)采用，但是NowSecure發(fā)現(xiàn)的是針對三星在手機(jī)安裝上出現(xiàn)的問題。

對于三星的提供補(bǔ)丁的及時性，拉塞爾告訴記者，一般而言提供制造商提供修復(fù)補(bǔ)丁的時間長短不一。大體而言，手機(jī)的原設(shè)備制造商以及運(yùn)營商需要為用戶更快地提供修復(fù)補(bǔ)丁，特別是像三星手機(jī)此次遭遇的這樣敏感的問題。而更為重要的一點(diǎn)是，在三星發(fā)布手機(jī)之前，需要更有效地測試其加載的應(yīng)用程序，避免這樣的問題發(fā)生。

拉塞爾表示，這些問題的發(fā)生就是因?yàn)殚_發(fā)商以及手機(jī)的原設(shè)備制造商在他們正式發(fā)布手機(jī)之前，在開發(fā)和測試應(yīng)用程序上并沒有遵守行業(yè)內(nèi)最佳的準(zhǔn)則。

拉塞爾進(jìn)一步指出，我們將三星此次的漏洞歸類為“嚴(yán)重錯誤”。具體而言，在行業(yè)的公開標(biāo)準(zhǔn)、“通用漏洞評分系統(tǒng)”中被評為8.3分（10分為嚴(yán)重等級的最高分）。之所以被歸類為嚴(yán)重錯誤，是因?yàn)橛脩魺o法通過升級或是自己的操作來解決該問題，只能通過運(yùn)營商提供的補(bǔ)丁才能修復(fù)。

半年前已告知三星 漏洞至今未得到修復(fù)

NowSecure公司研究人員安德魯告訴法晚記者，該公司去年就已經(jīng)把該漏洞告知了三星公司，但半年多過去了，漏洞依然沒有得到修復(fù)。這就是NowSecure為何會選擇現(xiàn)在公開這個調(diào)查結(jié)果的原因。

NowSecure測試了幾款不同的三星Galaxy 手機(jī)，結(jié)果顯示，這些手機(jī)都容易受到攻擊。這個問題涉及三星設(shè)備所使用的單詞預(yù)測軟件，由英國科技公司SwiftKey研發(fā)，三星手機(jī)都安裝了該軟件。三星沒有對鍵盤更新進(jìn)行加密。去年，我們發(fā)現(xiàn)三星手機(jī)用戶在軟件更新時，可能會接收惡意文件，病毒可以訪問某些手機(jī)系統(tǒng)最核心的部件。

黑客可以利用這個漏洞欺騙鍵盤的代理服務(wù)系統(tǒng)，從而操控手機(jī)的傳感器和應(yīng)用，甚至還能秘密安裝惡意軟件。黑客還可以劫持三星安卓系統(tǒng)智能手機(jī)內(nèi)置鍵盤的更新過程，進(jìn)而竊聽用戶的通話，查看短信和聯(lián)系人，或打開麥克風(fēng)錄音。也就是說，黑客可以在你的手機(jī)上做任何事情。

三星回應(yīng)

重視新安全威脅 近期將推送安全補(bǔ)丁

三星電子中國區(qū)弘報（宣傳）部門負(fù)責(zé)人陳曦在接受《法制晚報》記者采訪時表示，“報道中提到的三星手機(jī)存在漏洞這一消息，我們已經(jīng)知曉，但具體技術(shù)問題還要交給公司相關(guān)人員處理�！�

三星電子在一份聲明中表示，他們“非常重視新出現(xiàn)的安全威脅，并致力于提供最新的移動安全性，我們在過去的一周充分了解了問題的嚴(yán)重程度”，將通過三星的Knox服務(wù)修補(bǔ)問題，并稱：“更新將在幾天內(nèi)推出”。該公司表示，目前還不清楚是否所有受影響的手機(jī)都能得到修復(fù)。

三星公司稱，去年11月就發(fā)現(xiàn)了這一漏洞，今年3月為移動運(yùn)營商提供了補(bǔ)丁。但一些運(yùn)營商可能沒有及時推送這一補(bǔ)丁，即便是運(yùn)營商及時推送，也會有一些用戶不愿意及時更新。

三星公司還表示，這個漏洞的風(fēng)險被夸大，如果黑客要利用這一漏洞執(zhí)行惡意代碼，他們必須和三星手機(jī)在同一個未加密的網(wǎng)絡(luò)中，而且即便黑客執(zhí)行了惡意代碼，也能被三星的安全軟件攔截。他們未來數(shù)天將向所有三星移動設(shè)備推送安全補(bǔ)丁。

SwiftKey：該漏洞不容易被利用

英國科技公司SwiftKey在一份公開聲明中表示，他們已經(jīng)發(fā)現(xiàn)了該缺陷。這是把該鍵盤集成到三星手機(jī)的方式和技術(shù)產(chǎn)生的安全漏洞。

SwiftKey同時表示，這個漏洞并不容易被利用，黑客只能在鍵盤軟件更新時潛入手機(jī)。

專家解讀

用戶盡量在安全網(wǎng)絡(luò)中操作手機(jī)

美國信息技術(shù)研究和分析公司“加納公司”的手機(jī)安全研究主管迪奧尼西奧·蘇墨勒接受法晚記者采訪時表示，SwiftKey是一種手機(jī)鍵盤的應(yīng)用程序。在三星的例子里，SwiftKey以一些特定的特權(quán)運(yùn)行，這使得漏洞利用成為可能。

如果這一漏洞被攻擊者蓄意利用的話，將會對手機(jī)用戶造成很大的安全威脅。通過利用這一漏洞，攻擊者幾乎獲得了完全控制權(quán)，讓他們可以在設(shè)備上進(jìn)行任何操作。

蘇墨勒告訴記者，要利用漏洞進(jìn)行攻擊，攻擊者必須通過互聯(lián)網(wǎng)的第三人，也就是“中間人”進(jìn)行攻擊，這將攻擊范圍變得最小化。三星的手機(jī)用戶應(yīng)該盡量在安全的網(wǎng)絡(luò)進(jìn)行操作（例如在家中的網(wǎng)絡(luò)）。

此外，手機(jī)安全管理應(yīng)用程序例如Skycure，同樣能夠檢查到發(fā)動中間攻擊的攻擊者，避免手機(jī)遭到攻擊。

如果用戶是企業(yè)用戶，管理者可以通過移動管理工具來攔截SwiftKey應(yīng)用程序。（記者 黎史翔 張潔清）

NowSecure

列出的存安全漏洞的部分三星手機(jī)型號

Galaxy S6

Galaxy S5

Galaxy S4

Galaxy S4 Mini