10
本文作者: 金红 | 2015-06-17 10:52 |
移动安全公司NowSecure的安全人员瑞安·韦尔顿(Ryan Welton)周二在伦敦举办的黑帽子安全峰会(Black Hat)上公布了存在于三星键盘的一个很严重的漏洞,黑客可以通过这个漏洞窥探用户信息以及控制手机。
韦尔顿发现三星手机上默认安装的SwiftKey键盘应用会扫描语言更新包,包括未经加密的文件,这就给了韦尔顿一个建立欺骗代理服务器并把恶意代码传入手机的机会。在手机中有了后门之后,他就可以通过很多手段扩大自己的权限并最终在用户毫不知情的情况下控制手机。
据悉,早在去年11月NowSecure便已联系了三星对其发出警告。当时三星在12月16日请求给予更多的时间。在12月31日,三星要求给予一年时间修复漏洞,但NowSecure觉得一年时间太长,容易被黑客发现。最后,两家公司在3月份达成协议在三个月后公布此漏洞。在这期间,三星为安卓4.2及以上系统更新了补丁。
上周,韦尔顿从美国无线运营商Verizon和Sprint购买了两部新的三星Galaxy S6,发现这两部手机仍然存在安全漏洞。一名NowSecure发言人表示,除了Galaxy S6,三星的主要产品线包括S3、S4、S5、Note3、Note4都可能存在同样的问题。该发言人同时指出,Google Play和Apple Store上的SwiftKey键盘应用并没有这类安全问题。但由于三星默认安装的SwiftKey为系统键盘不能卸载,即使使用其他键盘作为默认键盘,这个漏洞同样可以被利用。
NowSecure表示,截至目前并未发现三星针对此漏洞作出补丁更新。
雷峰网原创文章,未经授权禁止转载。详情见转载须知。