三星手机被曝存安全漏洞 波及全球超6亿用户

119930

美安全公司发布报告称 攻击者可安装恶意软件 窃取超6亿用户信息 三星表示将推送安全补丁

法制晚报讯(记者 黎史翔 张洁清)据美国有线电视新闻网(CNN)日前报道，美国网络安全公司NowSecure发布最新报告称，的键盘应用存在漏洞，用户的大量信息可能因此被泄露。而这一漏洞，在大量三星的移动设备中暂时未得到修复，其中包括最新款的Galaxy S6等，波及全球超6亿用户。

NowSecure发言人艾森·拉塞尔在接受《法制晚报》记者采访时表示，三星手机存在的漏洞可能被黑客利用，窃取用户通讯录、短信、照片等重要信息。
* m1 Q9 Y; z9 i; P2 Y) C
对此，三星公司予以回应称，三星在今年3月就为该漏洞提供了补丁，但运营商可能没有及时推送，三星在未来数天内还会推出修复措施。

漏洞曝光
& k: m  e) h* k0 F) B" P( x
三星手机键盘程序 可被黑客利用控制手机

SwiftKey是一款键盘应用，预装在多款三星手机上，也可以通过谷歌和苹果的应用商店下载。美国安全公司NowSecure的报告称，它可以允许远程攻击者控制用户的网络流量，并在手机上执行任意代码。该软件是无法被卸载的，即使SwiftKey没有被设置为默认键盘，攻击者依然可以利用该漏洞。
0 T: K$ h; D2 Q
! j  l) h! X2 T; i. R5 z, g3 ISwiftKey在手机当中拥有很高的权限，可获取当中的大部分功能。通过利用这一漏洞，攻击者几乎获得了完全控制权，让他们可以在设备上进行任何操作，比如秘密安装恶意软件，使用设备的摄像头、麦克风和GPS，窃听通话、更改其他应用，甚至是窃取照片和短信。

NowSecure表示，他们在去年12月就已经将该漏洞通报给三星、美国计算机应急响应小组和谷歌的Android团队。

三星虽然在今年年初向运营商提供了修复补丁，但是目前并不清楚手机的运营商是否为用户的设备进行了修复。由于三星手机的型号以及全球运营商网络数量等因素，并不确定到底有多少手机用户仍然处于易被攻击的状态。

报道称，让人担忧的是，本次曝光的漏洞波及范围非常之大，所影响的设备数量超过了6亿，包括三星Galaxy S6、S5、S4和S4 mini在内的机型，以及Verizon、AT&T、Sprint和T-Mobile等运营商版本都无一幸免。

根据NowSecure的建议，用户目前最好避免使用不安全的Wi-Fi网络，或是暂时更换其他品牌的移动设备。

* A: K9 S' \) |' z1 M$ m记者追访

: X; ?) H# F  c, p- Y& @- d报告发布公司：三星漏洞为“严重错误”

发布此次安全报告的NowSecure公司发言人艾森·拉塞尔接受法晚记者采访时表示，SwiftKey这一内置应用程序不仅仅只有三星手机采用，但是NowSecure发现的是针对三星在手机安装上出现的问题。
8 X: f0 }, {  o! r5 i) ~5 `) t
对于三星的提供补丁的及时性，拉塞尔告诉记者，一般而言提供制造商提供修复补丁的时间长短不一。大体而言，手机的原设备制造商以及运营商需要为用户更快地提供修复补丁，特别是像三星手机此次遭遇的这样敏感的问题。而更为重要的一点是，在三星发布手机之前，需要更有效地测试其加载的应用程序，避免这样的问题发生。
$ h2 V' W3 B- L
# E: u( T. i% [( V' W拉塞尔表示，这些问题的发生就是因为开发商以及手机的原设备制造商在他们正式发布手机之前，在开发和测试应用程序上并没有遵守行业内最佳的准则。
3 {8 c* C  N! L4 u6 u
7 o2 L* R' L! T6 ]7 D/ i拉塞尔进一步指出，我们将三星此次的漏洞归类为“严重错误”。具体而言，在行业的公开标准、“通用漏洞评分系统”中被评为8.3分(10分为严重等级的最高分)。之所以被归类为严重错误，是因为用户无法通过升级或是自己的操作来解决该问题，只能通过运营商提供的补丁才能修复。
% F6 V' }- s& }5 n. K6 d
) @( a& w4 l7 @半年前已告知三星 漏洞至今未得到修复
- \% b7 z% W9 N3 j
7 P# B7 l0 p/ A" _- \NowSecure公司研究人员安德鲁告诉法晚记者，该公司去年就已经把该漏洞告知了三星公司，但半年多过去了，漏洞依然没有得到修复。这就是NowSecure为何会选择现在公开这个调查结果的原因。

9 y% v/ n) k* }8 {% u8 E, P* L/ o" h/ bNowSecure测试了几款不同的三星Galaxy 手机，结果显示，这些手机都容易受到攻击。这个问题涉及三星设备所使用的单词预测软件，由英国科技公司SwiftKey研发，三星手机都安装了该软件。三星没有对键盘更新进行加密。去年，我们发现三星手机用户在软件更新时，可能会接收恶意文件，病毒可以访问某些手机系统最核心的部件。
8 l  ~1 r2 c' T) ^$ M* E7 R
- G! O: d1 S+ q, k1 L: }黑客可以利用这个漏洞欺骗键盘的代理服务系统，从而操控手机的传感器和应用，甚至还能秘密安装恶意软件。黑客还可以劫持三星安卓系统智能手机内置键盘的更新过程，进而窃听用户的通话，查看短信和联系人，或打开麦克风录音。也就是说，黑客可以在你的手机上做任何事情。
, p# U8 e1 S) w, n* k# N
4 c' z4 m! z% W8 {8 ^! W三星回应

$ z1 E6 `+ h# N& `& o7 B2 }# I/ I! }' Z重视新安全威胁 近期将推送安全补丁
: r  y: L& N: G1 X
' n1 d1 t1 z) P2 Y三星电子中国区弘报(宣传)部门负责人陈曦在接受《法制晚报》记者采访时表示，“报道中提到的三星手机存在漏洞这一消息，我们已经知晓，但具体技术问题还要交给公司相关人员处理。”

  B9 K. B. x( _: \) |, j' p三星电子在一份声明中表示，他们“非常重视新出现的安全威胁，并致力于提供最新的移动安全性，我们在过去的一周充分了解了问题的严重程度”，将通过三星的Knox服务修补问题，并称：“更新将在几天内推出”。该公司表示，目前还不清楚是否所有受影响的手机都能得到修复。
0 y; r; C, R5 k- H
三星公司称，去年11月就发现了这一漏洞，今年3月为移动运营商提供了补丁。但一些运营商可能没有及时推送这一补丁，即便是运营商及时推送，也会有一些用户不愿意及时更新。
' G  m/ r' g. |* y3 `
三星公司还表示，这个漏洞的风险被夸大，如果黑客要利用这一漏洞执行恶意代码，他们必须和三星手机在同一个未加密的网络中，而且即便黑客执行了恶意代码，也能被三星的安全软件拦截。他们未来数天将向所有三星移动设备推送安全补丁。
9 v  S, b0 t8 n" X$ J
SwiftKey：该漏洞不容易被利用

. z" A' E5 `$ o英国科技公司SwiftKey在一份公开声明中表示，他们已经发现了该缺陷。这是把该键盘集成到三星手机的方式和技术产生的安全漏洞。

SwiftKey同时表示，这个漏洞并不容易被利用，黑客只能在键盘软件更新时潜入手机。

9 I! x2 J' V$ F1 n  o0 `专家解读
7 z" n; H4 ~# J) Z4 t3 P6 C2 c
用户尽量在安全网络中操作手机

! L4 i/ V! @$ w$ G% c0 ^美国信息技术研究和分析公司“加纳公司”的手机安全研究主管迪奥尼西奥·苏墨勒接受法晚记者采访时表示，SwiftKey是一种手机键盘的应用程序。在三星的例子里，SwiftKey以一些特定的特权运行，这使得漏洞利用成为可能。
; f. O, ~( r$ W' g" M
如果这一漏洞被攻击者蓄意利用的话，将会对手机用户造成很大的安全威胁。通过利用这一漏洞，攻击者几乎获得了完全控制权，让他们可以在设备上进行任何操作。

) H( b2 a2 X) J3 R* x苏墨勒告诉记者，要利用漏洞进行攻击，攻击者必须通过互联网的第三人，也就是“中间人”进行攻击，这将攻击范围变得最小化。三星的手机用户应该尽量在安全的网络进行操作(例如在家中的网络)。

9 ]) |8 \9 e0 S' `- Z% H( C此外，手机安全管理应用程序例如Skycure，同样能够检查到发动中间攻击的攻击者，避免手机遭到攻击。
6 x& G" V% w3 g" R8 ]. D" w: s& l4 N
如果用户是企业用户，管理者可以通过移动管理工具来拦截SwiftKey应用程序。
+ f9 o" X4 Y2 Y1 m, X
本版文/记者 黎史翔 张洁清
& p7 g8 ~4 f% D. d6 n9 H' ~
2 a# o/ a/ y" hNowSecure
3 }2 e9 F$ a; Y/ U( o
# O- X0 Y9 _! n! N列出的存安全漏洞的部分三星手机型号

& Z) c1 |. |# G$ F5 F7 c/ ~Galaxy S6
0 A" e/ t# U, ?+ J
Galaxy S5
$ `% S, M: Y2 s9 N& _$ ~
Galaxy S4

Galaxy S4 Mini