10
| 本文作者: 金紅 | 2015-06-17 10:52 |
移動安全公司NowSecure的安全人員瑞安·韋爾頓(Ryan Welton)周二在倫敦舉辦的黑帽子安全峰會(Black Hat)上公布了存在于三星鍵盤的一個很嚴重的漏洞,黑客可以通過這個漏洞窺探用戶信息以及控制手機。
韋爾頓發現三星手機上默認安裝的SwiftKey鍵盤應用會掃描語言更新包,包括未經加密的文件,這就給了韋爾頓一個建立欺騙代理服務器并把惡意代碼傳入手機的機會。在手機中有了后門之后,他就可以通過很多手段擴大自己的權限并最終在用戶毫不知情的情況下控制手機。
據悉,早在去年11月NowSecure便已聯系了三星對其發出警告。當時三星在12月16日請求給予更多的時間。在12月31日,三星要求給予一年時間修復漏洞,但NowSecure覺得一年時間太長,容易被黑客發現。最后,兩家公司在3月份達成協議在三個月后公布此漏洞。在這期間,三星為安卓4.2及以上系統更新了補丁。
上周,韋爾頓從美國無線運營商Verizon和Sprint購買了兩部新的三星Galaxy S6,發現這兩部手機仍然存在安全漏洞。一名NowSecure發言人表示,除了Galaxy S6,三星的主要產品線包括S3、S4、S5、Note3、Note4都可能存在同樣的問題。該發言人同時指出,Google Play和Apple Store上的SwiftKey鍵盤應用并沒有這類安全問題。但由于三星默認安裝的SwiftKey為系統鍵盤不能卸載,即使使用其他鍵盤作為默認鍵盤,這個漏洞同樣可以被利用。
NowSecure表示,截至目前并未發現三星針對此漏洞作出補丁更新。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
