人民網>>財經>>理財頻道

三星手機被曝安全漏洞 超6億用戶信息存隱患

2015年06月25日07:41    來源:新華網    手機看新聞
原標題:三星手機被曝安全漏洞 超6億用戶信息存隱患

三星手機 被曝存安全漏洞

美安全公司發布報告稱 攻擊者可安裝惡意軟件 竊取超6億用戶信息 三星表示將推送安全補丁

據美國有線電視新聞網(CNN)日前報道,美國網絡安全公司NowSecure發布最新報告稱,的鍵盤應用存在漏洞,用戶的大量信息可能因此被泄露。而這一漏洞,在大量三星的移動設備中暫時未得到修復,其中包括最新款的Galaxy S6等,波及全球超6億用戶。

NowSecure發言人艾森·拉塞爾在接受《法制晚報》記者採訪時表示,三星手機存在的漏洞可能被黑客利用,竊取用戶通訊錄、短信、照片等重要信息。

對此,三星公司予以回應稱,三星在今年3月就為該漏洞提供了補丁,但運營商可能沒有及時推送,三星在未來數天內還會推出修復措施。

漏洞曝光

三星手機鍵盤程序 可被黑客利用控制手機

SwiftKey是一款鍵盤應用,預裝在多款三星手機上,也可以通過谷歌和蘋果的應用商店下載。美國安全公司NowSecure的報告稱,它可以允許遠程攻擊者控制用戶的網絡流量,並在手機上執行任意代碼。該軟件是無法被卸載的,即使SwiftKey沒有被設置為默認鍵盤,攻擊者依然可以利用該漏洞。

SwiftKey在手機當中擁有很高的權限,可獲取當中的大部分功能。通過利用這一漏洞,攻擊者幾乎獲得了完全控制權,讓他們可以在設備上進行任何操作,比如秘密安裝惡意軟件,使用設備的攝像頭、麥克風和GPS,竊聽通話、更改其他應用,甚至是竊取照片和短信。

NowSecure表示,他們在去年12月就已經將該漏洞通報給三星、美國計算機應急響應小組和谷歌的Android團隊。

三星雖然在今年年初向運營商提供了修復補丁,但是目前並不清楚手機的運營商是否為用戶的設備進行了修復。由於三星手機的型號以及全球運營商網絡數量等因素,並不確定到底有多少手機用戶仍然處於易被攻擊的狀態。

報道稱,讓人擔憂的是,本次曝光的漏洞波及范圍非常之大,所影響的設備數量超過了6億,包括三星Galaxy S6、S5、S4和S4 mini在內的機型,以及Verizon、AT&T、Sprint和T-Mobile等運營商版本都無一幸免。

根據NowSecure的建議,用戶目前最好避免使用不安全的Wi-Fi網絡,或是暫時更換其他品牌的移動設備。

記者追訪

報告發布公司:三星漏洞為“嚴重錯誤”

發布此次安全報告的NowSecure公司發言人艾森·拉塞爾接受法晚記者採訪時表示,SwiftKey這一內置應用程序不僅僅隻有三星手機採用,但是NowSecure發現的是針對三星在手機安裝上出現的問題。

對於三星的提供補丁的及時性,拉塞爾告訴記者,一般而言提供制造商提供修復補丁的時間長短不一。大體而言,手機的原設備制造商以及運營商需要為用戶更快地提供修復補丁,特別是像三星手機此次遭遇的這樣敏感的問題。而更為重要的一點是,在三星發布手機之前,需要更有效地測試其加載的應用程序,避免這樣的問題發生。

拉塞爾表示,這些問題的發生就是因為開發商以及手機的原設備制造商在他們正式發布手機之前,在開發和測試應用程序上並沒有遵守行業內最佳的准則。

拉塞爾進一步指出,我們將三星此次的漏洞歸類為“嚴重錯誤”。具體而言,在行業的公開標准、“通用漏洞評分系統”中被評為8.3分(10分為嚴重等級的最高分)。之所以被歸類為嚴重錯誤,是因為用戶無法通過升級或是自己的操作來解決該問題,隻能通過運營商提供的補丁才能修復。

半年前已告知三星 漏洞至今未得到修復

NowSecure公司研究人員安德魯告訴法晚記者,該公司去年就已經把該漏洞告知了三星公司,但半年多過去了,漏洞依然沒有得到修復。這就是NowSecure為何會選擇現在公開這個調查結果的原因。

NowSecure測試了幾款不同的三星Galaxy 手機,結果顯示,這些手機都容易受到攻擊。這個問題涉及三星設備所使用的單詞預測軟件,由英國科技公司SwiftKey研發,三星手機都安裝了該軟件。三星沒有對鍵盤更新進行加密。去年,我們發現三星手機用戶在軟件更新時,可能會接收惡意文件,病毒可以訪問某些手機系統最核心的部件。

黑客可以利用這個漏洞欺騙鍵盤的代理服務系統,從而操控手機的傳感器和應用,甚至還能秘密安裝惡意軟件。黑客還可以劫持三星安卓系統智能手機內置鍵盤的更新過程,進而竊聽用戶的通話,查看短信和聯系人,或打開麥克風錄音。也就是說,黑客可以在你的手機上做任何事情。

三星回應

重視新安全威脅 近期將推送安全補丁

三星電子中國區弘報(宣傳)部門負責人陳曦在接受《法制晚報》記者採訪時表示,“報道中提到的三星手機存在漏洞這一消息,我們已經知曉,但具體技術問題還要交給公司相關人員處理。”

三星電子在一份聲明中表示,他們“非常重視新出現的安全威脅,並致力於提供最新的移動安全性,我們在過去的一周充分了解了問題的嚴重程度”,將通過三星的Knox服務修補問題,並稱:“更新將在幾天內推出”。該公司表示,目前還不清楚是否所有受影響的手機都能得到修復。

三星公司稱,去年11月就發現了這一漏洞,今年3月為移動運營商提供了補丁。但一些運營商可能沒有及時推送這一補丁,即便是運營商及時推送,也會有一些用戶不願意及時更新。

三星公司還表示,這個漏洞的風險被夸大,如果黑客要利用這一漏洞執行惡意代碼,他們必須和三星手機在同一個未加密的網絡中,而且即便黑客執行了惡意代碼,也能被三星的安全軟件攔截。他們未來數天將向所有三星移動設備推送安全補丁。

SwiftKey:該漏洞不容易被利用

英國科技公司SwiftKey在一份公開聲明中表示,他們已經發現了該缺陷。這是把該鍵盤集成到三星手機的方式和技術產生的安全漏洞。

SwiftKey同時表示,這個漏洞並不容易被利用,黑客隻能在鍵盤軟件更新時潛入手機。

專家解讀

用戶盡量在安全網絡中操作手機

美國信息技術研究和分析公司“加納公司”的手機安全研究主管迪奧尼西奧·蘇墨勒接受法晚記者採訪時表示,SwiftKey是一種手機鍵盤的應用程序。在三星的例子裡,SwiftKey以一些特定的特權運行,這使得漏洞利用成為可能。

如果這一漏洞被攻擊者蓄意利用的話,將會對手機用戶造成很大的安全威脅。通過利用這一漏洞,攻擊者幾乎獲得了完全控制權,讓他們可以在設備上進行任何操作。

蘇墨勒告訴記者,要利用漏洞進行攻擊,攻擊者必須通過互聯網的第三人,也就是“中間人”進行攻擊,這將攻擊范圍變得最小化。三星的手機用戶應該盡量在安全的網絡進行操作(例如在家中的網絡)。

此外,手機安全管理應用程序例如Skycure,同樣能夠檢查到發動中間攻擊的攻擊者,避免手機遭到攻擊。

如果用戶是企業用戶,管理者可以通過移動管理工具來攔截SwiftKey應用程序。(記者 黎史翔 張潔清)

NowSecure

列出的存安全漏洞的部分三星手機型號

Galaxy S6

Galaxy S5

Galaxy S4

Galaxy S4 Mini

(責編:羅知之、劉陽)

相關專題



注冊/登錄
發言請遵守新聞跟帖服務協議   

使用其他賬號登錄: 新浪微博帳號登錄 QQ帳號登錄 人人帳號登錄 百度帳號登錄 豆瓣帳號登錄 天涯帳號登錄 淘寶帳號登錄 MSN帳號登錄 同步:分享到人民微博  

社區登錄
用戶名: 立即注冊
密  碼: 找回密碼
  
  • 最新評論
  • 熱門評論
查看全部留言

圖說財經|人民電視

  • 韓國女孩夜生活自拍韓國女孩夜生活自拍
  • 現實中的"動漫美女"現實中的"動漫美女"
  • 80后紋身師月入過萬80后紋身師月入過萬
  • 高考經濟緣何火熱高考經濟緣何火熱

24小時排行 | 新聞頻道留言熱帖