美安全公司發(fā)布報告稱 攻擊者可安裝惡意軟件 竊取超6億用戶信息 三星表示將推送安全補丁

　　據(jù)美國有線電視新聞網(wǎng)(CNN)日前報道，美國網(wǎng)絡(luò)安全公司NowSecure發(fā)布最新報告稱，的鍵盤應(yīng)用存在漏洞，用戶的大量信息可能因此被泄露。而這一漏洞，在大量三星的移動設(shè)備中暫時未得到修復(fù)，其中包括最新款的Galaxy S6等，波及全球超6億用戶。

　　NowSecure發(fā)言人艾森·拉塞爾在接受《法制晚報》記者采訪時表示，三星手機存在的漏洞可能被黑客利用，竊取用戶通訊錄、短信、照片等重要信息。

　　對此，三星公司予以回應(yīng)稱，三星在今年3月就為該漏洞提供了補丁，但運營商可能沒有及時推送，三星在未來數(shù)天內(nèi)還會推出修復(fù)措施。

　　漏洞曝光

　　三星手機鍵盤程序 可被黑客利用控制手機

　　SwiftKey是一款鍵盤應(yīng)用，預(yù)裝在多款三星手機上，也可以通過谷歌和蘋果的應(yīng)用商店下載。美國安全公司NowSecure的報告稱，它可以允許遠(yuǎn)程攻擊者控制用戶的網(wǎng)絡(luò)流量，并在手機上執(zhí)行任意代碼。該軟件是無法被卸載的，即使SwiftKey沒有被設(shè)置為默認(rèn)鍵盤，攻擊者依然可以利用該漏洞。

　　SwiftKey在手機當(dāng)中擁有很高的權(quán)限，可獲取當(dāng)中的大部分功能。通過利用這一漏洞，攻擊者幾乎獲得了完全控制權(quán)，讓他們可以在設(shè)備上進(jìn)行任何操作，比如秘密安裝惡意軟件，使用設(shè)備的攝像頭、麥克風(fēng)和GPS，竊聽通話、更改其他應(yīng)用，甚至是竊取照片和短信。

　　NowSecure表示，他們在去年12月就已經(jīng)將該漏洞通報給三星、美國計算機應(yīng)急響應(yīng)小組和谷歌的Android團(tuán)隊。

　　三星雖然在今年年初向運營商提供了修復(fù)補丁，但是目前并不清楚手機的運營商是否為用戶的設(shè)備進(jìn)行了修復(fù)。由于三星手機的型號以及全球運營商網(wǎng)絡(luò)數(shù)量等因素，并不確定到底有多少手機用戶仍然處于易被攻擊的狀態(tài)。

　　報道稱，讓人擔(dān)憂的是，本次曝光的漏洞波及范圍非常之大，所影響的設(shè)備數(shù)量超過了6億，包括三星Galaxy S6、S5、S4和S4 mini在內(nèi)的機型，以及Verizon、AT&T、Sprint和T-Mobile等運營商版本都無一幸免。

　　根據(jù)NowSecure的建議，用戶目前最好避免使用不安全的Wi-Fi網(wǎng)絡(luò)，或是暫時更換其他品牌的移動設(shè)備。

　　記者追訪

　　報告發(fā)布公司：三星漏洞為“嚴(yán)重錯誤”

　　發(fā)布此次安全報告的NowSecure公司發(fā)言人艾森·拉塞爾接受法晚記者采訪時表示，SwiftKey這一內(nèi)置應(yīng)用程序不僅僅只有三星手機采用，但是NowSecure發(fā)現(xiàn)的是針對三星在手機安裝上出現(xiàn)的問題。

　　對于三星的提供補丁的及時性，拉塞爾告訴記者，一般而言提供制造商提供修復(fù)補丁的時間長短不一。大體而言，手機的原設(shè)備制造商以及運營商需要為用戶更快地提供修復(fù)補丁，特別是像三星手機此次遭遇的這樣敏感的問題。而更為重要的一點是，在三星發(fā)布手機之前，需要更有效地測試其加載的應(yīng)用程序，避免這樣的問題發(fā)生。

　　拉塞爾表示，這些問題的發(fā)生就是因為開發(fā)商以及手機的原設(shè)備制造商在他們正式發(fā)布手機之前，在開發(fā)和測試應(yīng)用程序上并沒有遵守行業(yè)內(nèi)最佳的準(zhǔn)則。

　　拉塞爾進(jìn)一步指出，我們將三星此次的漏洞歸類為“嚴(yán)重錯誤”。具體而言，在行業(yè)的公開標(biāo)準(zhǔn)、“通用漏洞評分系統(tǒng)”中被評為8.3分(10分為嚴(yán)重等級的最高分)。之所以被歸類為嚴(yán)重錯誤，是因為用戶無法通過升級或是自己的操作來解決該問題，只能通過運營商提供的補丁才能修復(fù)。

　　半年前已告知三星 漏洞至今未得到修復(fù)

　　NowSecure公司研究人員安德魯告訴法晚記者，該公司去年就已經(jīng)把該漏洞告知了三星公司，但半年多過去了，漏洞依然沒有得到修復(fù)。這就是NowSecure為何會選擇現(xiàn)在公開這個調(diào)查結(jié)果的原因。

　　NowSecure測試了幾款不同的三星Galaxy 手機，結(jié)果顯示，這些手機都容易受到攻擊。這個問題涉及三星設(shè)備所使用的單詞預(yù)測軟件，由英國科技公司SwiftKey研發(fā)，三星手機都安裝了該軟件。三星沒有對鍵盤更新進(jìn)行加密。去年，我們發(fā)現(xiàn)三星手機用戶在軟件更新時，可能會接收惡意文件，病毒可以訪問某些手機系統(tǒng)最核心的部件。

　　黑客可以利用這個漏洞欺騙鍵盤的代理服務(wù)系統(tǒng)，從而操控手機的傳感器和應(yīng)用，甚至還能秘密安裝惡意軟件。黑客還可以劫持三星安卓系統(tǒng)智能手機內(nèi)置鍵盤的更新過程，進(jìn)而竊聽用戶的通話，查看短信和聯(lián)系人，或打開麥克風(fēng)錄音。也就是說，黑客可以在你的手機上做任何事情。

　　三星回應(yīng)

　　重視新安全威脅 近期將推送安全補丁

　　三星電子中國區(qū)弘報(宣傳)部門負(fù)責(zé)人陳曦在接受《法制晚報》記者采訪時表示，“報道中提到的三星手機存在漏洞這一消息，我們已經(jīng)知曉，但具體技術(shù)問題還要交給公司相關(guān)人員處理。”

　　三星電子在一份聲明中表示，他們“非常重視新出現(xiàn)的安全威脅，并致力于提供最新的移動安全性，我們在過去的一周充分了解了問題的嚴(yán)重程度”，將通過三星的Knox服務(wù)修補問題，并稱：“更新將在幾天內(nèi)推出”。該公司表示，目前還不清楚是否所有受影響的手機都能得到修復(fù)。

　　三星公司稱，去年11月就發(fā)現(xiàn)了這一漏洞，今年3月為移動運營商提供了補丁。但一些運營商可能沒有及時推送這一補丁，即便是運營商及時推送，也會有一些用戶不愿意及時更新。

　　三星公司還表示，這個漏洞的風(fēng)險被夸大，如果黑客要利用這一漏洞執(zhí)行惡意代碼，他們必須和三星手機在同一個未加密的網(wǎng)絡(luò)中，而且即便黑客執(zhí)行了惡意代碼，也能被三星的安全軟件攔截。他們未來數(shù)天將向所有三星移動設(shè)備推送安全補丁。

　　SwiftKey：該漏洞不容易被利用

　　英國科技公司SwiftKey在一份公開聲明中表示，他們已經(jīng)發(fā)現(xiàn)了該缺陷。這是把該鍵盤集成到三星手機的方式和技術(shù)產(chǎn)生的安全漏洞。

　　SwiftKey同時表示，這個漏洞并不容易被利用，黑客只能在鍵盤軟件更新時潛入手機。

　　專家解讀

　　用戶盡量在安全網(wǎng)絡(luò)中操作手機

　　美國信息技術(shù)研究和分析公司“加納公司”的手機安全研究主管迪奧尼西奧·蘇墨勒接受法晚記者采訪時表示，SwiftKey是一種手機鍵盤的應(yīng)用程序。在三星的例子里，SwiftKey以一些特定的特權(quán)運行，這使得漏洞利用成為可能。

　　如果這一漏洞被攻擊者蓄意利用的話，將會對手機用戶造成很大的安全威脅。通過利用這一漏洞，攻擊者幾乎獲得了完全控制權(quán)，讓他們可以在設(shè)備上進(jìn)行任何操作。

　　蘇墨勒告訴記者，要利用漏洞進(jìn)行攻擊，攻擊者必須通過互聯(lián)網(wǎng)的第三人，也就是“中間人”進(jìn)行攻擊，這將攻擊范圍變得最小化。三星的手機用戶應(yīng)該盡量在安全的網(wǎng)絡(luò)進(jìn)行操作(例如在家中的網(wǎng)絡(luò))。

　　此外，手機安全管理應(yīng)用程序例如Skycure，同樣能夠檢查到發(fā)動中間攻擊的攻擊者，避免手機遭到攻擊。

　　如果用戶是企業(yè)用戶，管理者可以通過移動管理工具來攔截SwiftKey應(yīng)用程序。(記者 黎史翔 張潔清)

　　NowSecure

　　列出的存安全漏洞的部分三星手機型號

　　Galaxy S6

　　Galaxy S5

　　Galaxy S4

　　Galaxy S4 Mini