6亿三星Galaxy手机存明显漏洞 用户信息被暴露
美国有线电视新闻网 (CNN)6 月 17 日发表文章称,6 亿三星 Galaxy 手机正暴露在黑客面前,三星 Galaxy 手机都有一个明显的漏洞,黑客可以轻易的进入三星手机,窃取用户的信息。
文章指,研究人员发现,每一部三星 Galaxy 设备,从 S3 到最新的 S6 都有一个显著的缺陷,可以让黑客进入。该漏洞存在手机内置的键盘中,不能被删除。该漏洞可能允许黑客窥探使用三星 Galaxy 手机用户的信息。
该漏洞可以通过使用公共或不安全的无线网络被曝光。但一些研究人员认为,即使用户只使用运营商网络,也会曝光。国外网络安全公司 NowSecure 的研究人员表示,他们去年 11 月已经将该漏洞告诉了三星公司,七个月过去了,该漏洞仍没有得到修复。这就是为什么 NowSecure 会选择在现在公开它的调查结果。
这个问题有都严重?NowSecure 公司的 CEO Andrew Hoog 说,一个完善的系统会把网络安全问题划分为 10 个等级,这个漏洞处于 8.3 级。NowSecure 说,他们已经测试了几个不同的三星 Galaxy 手机,测试的这些手机都容易受到攻击。假设三星每一个机型都存在一样的问题,NowSecure 估计将有 6 亿部三星手机受到影响。
该问题涉及三星设备所使用的单词预测软件,是由英国科技公司 SwiftKey 研发,三星手机都安装了该软件。去年,NowSecure 研究人员发现,SwiftKey 键盘可以欺骗用户在软件更新时接受恶意文件。由于手机键盘的安装方式,病毒可以访问某些手机计算机系统最深,最核心的部件。随着访问被允许,黑客就可以在你的手机上做任何事情。
黑客可以利用该漏洞欺骗键盘的代理服务系统,从而操控手机的传感器和应用,甚至还能秘密安装恶意软件。可以劫持三星安卓系统智能手机内置键盘的更新过程,进而窃听用户的通话,查看短信和联系人,或打开麦克风录音。NowSecure 的 CEO Andrew Hoog 称,三星并未对键盘更新进行加密。
三星和 SwiftKey 都没表示要对有缺陷的计算机代码负责。SwiftKey 周二在一份公开声明中只是说,他们发现了该缺陷。 SwiftKey 说“是把该键盘集成到三星手机的方式和技术产生的安全漏洞”。为了安慰担忧的用户,这家英国公司表示,这个漏洞并不容易被利用,黑客只能在键盘软件更新时潜入手机。
三星电子在一份声明中向记者表示,他们“非常重视新出现的安全威胁,并致力于提供最新的移动安全性”。该公司还表示,将通过三星的 KNOX 服务修补问题,并称“更新将在几天内推出”。该公司表示,目前还不清楚是否所有受影响的手机都能得到修复。
在三星开发出安全补丁后,用户能否获得更新,就取决于运营商是否推送该更新,而运营商经常不这样做。或者一些使用老款手机的用户嫌麻烦而不愿安装更新。NowSecure 表示,他们在 2014 年 11 月时就已联系了三星。12 月 16 日,三星回复称,需要更多时间来解决漏洞。而到了 12 月 31 日,三星称,需要一年的时间才能修复该漏洞。
而三星公司则告诉记者,NowSecure 的安全研究人员在去年 11 月并没有完全说明这个问题,三星说“我们在过去的一周充分了解了问题的严重程度”。NowSecure 劝三星 Galaxy 用户避免不安全的无线网络连接,并拨打手机运营商的电话,迫使他们快速推送更新。