6亿三星Galaxy手机存明显漏洞 用户信息被暴露

美国有线电视新闻网 (CNN)6 月 17 日发表文章称，6 亿三星 Galaxy 手机正暴露在黑客面前，三星 Galaxy 手机都有一个明显的漏洞，黑客可以轻易的进入三星手机，窃取用户的信息。

文章指，研究人员发现，每一部三星 Galaxy 设备，从 S3 到最新的 S6 都有一个显著的缺陷，可以让黑客进入。该漏洞存在手机内置的键盘中，不能被删除。该漏洞可能允许黑客窥探使用三星 Galaxy 手机用户的信息。

该漏洞可以通过使用公共或不安全的无线网络被曝光。但一些研究人员认为，即使用户只使用运营商网络，也会曝光。国外网络安全公司 NowSecure 的研究人员表示，他们去年 11 月已经将该漏洞告诉了三星公司，但是七个月过去了，该漏洞仍没有得到修复。这就是为什么 NowSecure 会选择在现在公开它的调查结果。

这个问题有都严重?NowSecure 公司的 CEO Andrew Hoog 说，一个完善的系统会把网络安全问题划分为 10 个等级，这个漏洞处于 8.3 级。NowSecure 说，他们已经测试了几个不同的三星 Galaxy 手机，测试的这些手机都容易受到攻击。假设三星每一个机型都存在一样的问题，NowSecure 估计将有 6 亿部三星手机受到影响。

该问题涉及三星设备所使用的单词预测软件，是由英国科技公司 SwiftKey 研发，三星手机都安装了该软件。去年，NowSecure 研究人员发现，SwiftKey 键盘可以欺骗用户在软件更新时接受恶意文件。由于手机键盘的安装方式，病毒可以访问某些手机计算机系统最深，最核心的部件。随着访问被允许，黑客就可以在你的手机上做任何事情。

黑客可以利用该漏洞欺骗键盘的代理服务系统，从而操控手机的传感器和应用，甚至还能秘密安装恶意软件。可以劫持三星安卓系统智能手机内置键盘的更新过程，进而窃听用户的通话，查看短信和联系人，或打开麦克风录音。NowSecure 的 CEO Andrew Hoog 称，三星并未对键盘更新进行加密。

三星和 SwiftKey 都没表示要对有缺陷的计算机代码负责。SwiftKey 周二在一份公开声明中只是说，他们发现了该缺陷。 SwiftKey 说：“是把该键盘集成到三星手机的方式和技术产生的安全漏洞”。为了安慰担忧的用户，这家英国公司表示，这个漏洞并不容易被利用，黑客只能在键盘软件更新时潜入手机。

三星电子在一份声明中向记者表示，他们“非常重视新出现的安全威胁，并致力于提供最新的移动安全性”。该公司还表示，将通过三星的 KNOX 服务修补问题，并称：“更新将在几天内推出”。该公司表示，目前还不清楚是否所有受影响的手机都能得到修复。

在三星开发出安全补丁后，用户能否获得更新，就取决于运营商是否推送该更新，而运营商经常不这样做。或者一些使用老款手机的用户嫌麻烦而不愿安装更新。NowSecure 表示，他们在 2014 年 11 月时就已联系了三星。12 月 16 日，三星回复称，需要更多时间来解决漏洞。而到了 12 月 31 日，三星称，需要一年的时间才能修复该漏洞。

而三星公司则告诉记者，NowSecure 的安全研究人员在去年 11 月并没有完全说明这个问题，三星说：“我们在过去的一周充分了解了问题的严重程度”。NowSecure 劝三星 Galaxy 用户避免不安全的无线网络连接，并拨打手机运营商的电话，迫使他们快速推送更新。