三星鍵盤(pán)漏洞仍未修復(fù) 6億手機(jī)身處險(xiǎn)境

發(fā)布: 2015-06-17 13:16 | 作者: MSCBSC | 來(lái)源: 網(wǎng)易科技 | 字體:       

    6月17日消息,最近發(fā)現(xiàn)的一個(gè)嚴(yán)重的安卓默認(rèn)鍵盤(pán)漏洞可能會(huì)影響手機(jī)的整體安全,6億部三星手機(jī)都會(huì)受到影響。

    該漏洞由移動(dòng)安全公司NowSecure的Ryan Welton發(fā)現(xiàn),它實(shí)際上非常明顯:三星手機(jī)上默認(rèn)安裝的SwiftKey鍵盤(pán)應(yīng)用會(huì)掃描語(yǔ)言更新包,包括未經(jīng)加密的文件,這就給了Welton一個(gè)建立欺騙代理服務(wù)器并把惡意代碼傳入手機(jī)。在手機(jī)中有了后門(mén)之后,他就可以通過(guò)很多手段擴(kuò)大自己的權(quán)限并最終在用戶毫不知情的情況下控制手機(jī)。

    在較壞的情境下,黑客獲得用戶手機(jī)管理員權(quán)限后可以把手機(jī)內(nèi)的聯(lián)系人資料、短信內(nèi)容、銀行賬號(hào)等等一系列私人信息傳出手機(jī)。也可以用作遠(yuǎn)程監(jiān)控用戶的一種途徑。

    在2014年11月份三星就收到了關(guān)于此漏洞的警告,當(dāng)時(shí)三星表示正在開(kāi)發(fā)補(bǔ)丁并在今年3月為安卓4.2及以上系統(tǒng)更新了補(bǔ)丁。但NowSecure認(rèn)為現(xiàn)在的手機(jī)仍然有漏洞。Welton在倫敦黑帽子安全峰會(huì)上現(xiàn)場(chǎng)對(duì)一部使用Verizon網(wǎng)絡(luò)的三星Galaxy S6手機(jī)進(jìn)行了測(cè)試,并宣布以同樣的方法取得了成功。一名NowSecure發(fā)言人表示:“我們已經(jīng)確認(rèn)了Galaxy S6手機(jī)在Verizon和Sprint網(wǎng)絡(luò)下仍然沒(méi)有修復(fù)這個(gè)問(wèn)題,他還說(shuō)道三星的主要產(chǎn)品線包括S3、S4、S5、Note3、Note4都可能存在同樣的問(wèn)題。Verizon、Sprint兩家運(yùn)營(yíng)商目前都沒(méi)有做出回應(yīng)。

    一名SwiftKey發(fā)言人表示:“我們已經(jīng)讀過(guò)關(guān)于三星手機(jī)鍵盤(pán)的安全報(bào)告,我們可以保證Google Play和Apple Store上的SwiftKey鍵盤(pán)應(yīng)用是沒(méi)有這些問(wèn)題的。我們非常重視類似的安全問(wèn)題,并已經(jīng)在深入調(diào)查這個(gè)問(wèn)題了!

    Welton表示這些手機(jī)的用戶現(xiàn)在的處境比較尷尬,因?yàn)橄到y(tǒng)鍵盤(pán)不能卸載,而且即便使用別的鍵盤(pán)作為默認(rèn)鍵盤(pán),這個(gè)漏洞同樣可以被利用。在更新補(bǔ)丁發(fā)布前,三星手機(jī)用戶應(yīng)該在接入網(wǎng)絡(luò)時(shí)詢問(wèn)運(yùn)營(yíng)商是否已有針對(duì)該漏洞的補(bǔ)丁。

    截止本文發(fā)表時(shí)三星還未就此作出評(píng)論。一個(gè)對(duì)三星還算挽尊的消息是,在利用該漏洞進(jìn)入用戶的手機(jī)之前,黑客必須想辦法與該三星手機(jī)共處同一個(gè)無(wú)線網(wǎng)絡(luò)中,雖然對(duì)于有經(jīng)驗(yàn)的黑客來(lái)說(shuō)在同一個(gè)WiFi中找出Galaxy S6手機(jī)應(yīng)該是小菜一碟。如果遠(yuǎn)程突破的話,就需要黑掉DNS或者路由器才行。

(恒)


掃碼關(guān)注5G通信官方公眾號(hào),免費(fèi)領(lǐng)取以下5G精品資料
  • 1、回復(fù)“YD5GAI”免費(fèi)領(lǐng)取《中國(guó)移動(dòng):5G網(wǎng)絡(luò)AI應(yīng)用典型場(chǎng)景技術(shù)解決方案白皮書(shū)
  • 2、回復(fù)“5G6G”免費(fèi)領(lǐng)取《5G_6G毫米波測(cè)試技術(shù)白皮書(shū)-2022_03-21
  • 3、回復(fù)“YD6G”免費(fèi)領(lǐng)取《中國(guó)移動(dòng):6G至簡(jiǎn)無(wú)線接入網(wǎng)白皮書(shū)
  • 4、回復(fù)“LTBPS”免費(fèi)領(lǐng)取《《中國(guó)聯(lián)通5G終端白皮書(shū)》
  • 5、回復(fù)“ZGDX”免費(fèi)領(lǐng)取《中國(guó)電信5GNTN技術(shù)白皮書(shū)
  • 6、回復(fù)“TXSB”免費(fèi)領(lǐng)取《通信設(shè)備安裝工程施工工藝圖解
  • 7、回復(fù)“YDSL”免費(fèi)領(lǐng)取《中國(guó)移動(dòng)算力并網(wǎng)白皮書(shū)
  • 8、回復(fù)“5GX3”免費(fèi)領(lǐng)取《R1623501-g605G的系統(tǒng)架構(gòu)1
    		•

    本周熱點(diǎn)本月熱點(diǎn)

     

      最熱通信招聘

    業(yè)界最新資訊

      最新招聘信息