據(jù)美國(guó)有線電視新聞網(wǎng)(CNN)日前報(bào)道，美國(guó)網(wǎng)絡(luò)安全公司NowSecure發(fā)布最新報(bào)告稱，三星手機(jī)的鍵盤應(yīng)用存在漏洞，用戶的大量信息可能因此被泄露。而這一漏洞，在大量三星的移動(dòng)設(shè)備中暫時(shí)未得到修復(fù)，其中包括最新款的Galaxy S6等，波及全球超6億用戶。

　　NowSecure發(fā)言人艾森·拉塞爾在接受《法制晚報(bào)》記者采訪時(shí)表示，三星手機(jī)存在的漏洞可能被黑客利用，竊取用戶通訊錄、短信、照片等重要信息。

　　對(duì)此，三星公司予以回應(yīng)稱，三星在今年3月就為該漏洞提供了補(bǔ)丁，但運(yùn)營(yíng)商可能沒(méi)有及時(shí)推送，三星在未來(lái)數(shù)天內(nèi)還會(huì)推出修復(fù)措施。

　　漏洞曝光

　　三星手機(jī)鍵盤程序 可被黑客利用控制手機(jī)

　　SwiftKey是一款鍵盤應(yīng)用，預(yù)裝在多款三星手機(jī)上，也可以通過(guò)谷歌和蘋果的應(yīng)用商店下載。美國(guó)安全公司NowSecure的報(bào)告稱，它可以允許遠(yuǎn)程攻擊者控制用戶的網(wǎng)絡(luò)流量，并在手機(jī)上執(zhí)行任意代碼。該軟件是無(wú)法被卸載的，即使SwiftKey沒(méi)有被設(shè)置為默認(rèn)鍵盤，攻擊者依然可以利用該漏洞。

　　SwiftKey在手機(jī)當(dāng)中擁有很高的權(quán)限，可獲取當(dāng)中的大部分功能。通過(guò)利用這一漏洞，攻擊者幾乎獲得了完全控制權(quán)，讓他們可以在設(shè)備上進(jìn)行任何操作，比如秘密安裝惡意軟件，使用設(shè)備的攝像頭、麥克風(fēng)和GPS，竊聽通話、更改其他應(yīng)用，甚至是竊取照片和短信。

　　NowSecure表示，他們?cè)谌ツ?2月就已經(jīng)將該漏洞通報(bào)給三星、美國(guó)計(jì)算機(jī)應(yīng)急響應(yīng)小組和谷歌的Android團(tuán)隊(duì)。

　　三星雖然在今年年初向運(yùn)營(yíng)商提供了修復(fù)補(bǔ)丁，但是目前并不清楚手機(jī)的運(yùn)營(yíng)商是否為用戶的設(shè)備進(jìn)行了修復(fù)。由于三星手機(jī)的型號(hào)以及全球運(yùn)營(yíng)商網(wǎng)絡(luò)數(shù)量等因素，并不確定到底有多少手機(jī)用戶仍然處于易被攻擊的狀態(tài)。

　　報(bào)道稱，讓人擔(dān)憂的是，本次曝光的漏洞波及范圍非常之大，所影響的設(shè)備數(shù)量超過(guò)了6億，包括三星Galaxy S6、S5、S4和S4 mini在內(nèi)的機(jī)型，以及Verizon、AT&T、Sprint和T-Mobile等運(yùn)營(yíng)商版本都無(wú)一幸免。

　　根據(jù)NowSecure的建議，用戶目前最好避免使用不安全的Wi-Fi網(wǎng)絡(luò)，或是暫時(shí)更換其他品牌的移動(dòng)設(shè)備。

　　記者追訪

　　報(bào)告發(fā)布公司：三星漏洞為“嚴(yán)重錯(cuò)誤”

　　發(fā)布此次安全報(bào)告的NowSecure公司發(fā)言人艾森·拉塞爾接受法晚記者采訪時(shí)表示，SwiftKey這一內(nèi)置應(yīng)用程序不僅僅只有三星手機(jī)采用，但是NowSecure發(fā)現(xiàn)的是針對(duì)三星在手機(jī)安裝上出現(xiàn)的問(wèn)題。

　　對(duì)于三星的提供補(bǔ)丁的及時(shí)性，拉塞爾告訴記者，一般而言提供制造商提供修復(fù)補(bǔ)丁的時(shí)間長(zhǎng)短不一。大體而言，手機(jī)的原設(shè)備制造商以及運(yùn)營(yíng)商需要為用戶更快地提供修復(fù)補(bǔ)丁，特別是像三星手機(jī)此次遭遇的這樣敏感的問(wèn)題。而更為重要的一點(diǎn)是，在三星發(fā)布手機(jī)之前，需要更有效地測(cè)試其加載的應(yīng)用程序，避免這樣的問(wèn)題發(fā)生。

　　拉塞爾表示，這些問(wèn)題的發(fā)生就是因?yàn)殚_發(fā)商以及手機(jī)的原設(shè)備制造商在他們正式發(fā)布手機(jī)之前，在開發(fā)和測(cè)試應(yīng)用程序上并沒(méi)有遵守行業(yè)內(nèi)最佳的準(zhǔn)則。

　　拉塞爾進(jìn)一步指出，我們將三星此次的漏洞歸類為“嚴(yán)重錯(cuò)誤”。具體而言，在行業(yè)的公開標(biāo)準(zhǔn)、“通用漏洞評(píng)分系統(tǒng)”中被評(píng)為8.3分(10分為嚴(yán)重等級(jí)的最高分)。之所以被歸類為嚴(yán)重錯(cuò)誤，是因?yàn)橛脩魺o(wú)法通過(guò)升級(jí)或是自己的操作來(lái)解決該問(wèn)題，只能通過(guò)運(yùn)營(yíng)商提供的補(bǔ)丁才能修復(fù)。

　　半年前已告知三星 漏洞至今未得到修復(fù)

　　NowSecure公司研究人員安德魯告訴法晚記者，該公司去年就已經(jīng)把該漏洞告知了三星公司，但半年多過(guò)去了，漏洞依然沒(méi)有得到修復(fù)。這就是NowSecure為何會(huì)選擇現(xiàn)在公開這個(gè)調(diào)查結(jié)果的原因。

　　NowSecure測(cè)試了幾款不同的三星Galaxy 手機(jī)，結(jié)果顯示，這些手機(jī)都容易受到攻擊。這個(gè)問(wèn)題涉及三星設(shè)備所使用的單詞預(yù)測(cè)軟件，由英國(guó)科技公司SwiftKey研發(fā)，三星手機(jī)都安裝了該軟件。三星沒(méi)有對(duì)鍵盤更新進(jìn)行加密。去年，我們發(fā)現(xiàn)三星手機(jī)用戶在軟件更新時(shí)，可能會(huì)接收惡意文件，病毒可以訪問(wèn)某些手機(jī)系統(tǒng)最核心的部件。

　　黑客可以利用這個(gè)漏洞欺騙鍵盤的代理服務(wù)系統(tǒng)，從而操控手機(jī)的傳感器和應(yīng)用，甚至還能秘密安裝惡意軟件。黑客還可以劫持三星安卓系統(tǒng)智能手機(jī)內(nèi)置鍵盤的更新過(guò)程，進(jìn)而竊聽用戶的通話，查看短信和聯(lián)系人，或打開麥克風(fēng)錄音。也就是說(shuō)，黑客可以在你的手機(jī)上做任何事情。

　　三星回應(yīng)

　　重視新安全威脅 近期將推送安全補(bǔ)丁

　　三星電子中國(guó)區(qū)弘報(bào)(宣傳)部門負(fù)責(zé)人陳曦在接受《法制晚報(bào)》記者采訪時(shí)表示，“報(bào)道中提到的三星手機(jī)存在漏洞這一消息，我們已經(jīng)知曉，但具體技術(shù)問(wèn)題還要交給公司相關(guān)人員處理?！?/p>

　　三星電子在一份聲明中表示，他們“非常重視新出現(xiàn)的安全威脅，并致力于提供最新的移動(dòng)安全性，我們?cè)谶^(guò)去的一周充分了解了問(wèn)題的嚴(yán)重程度”，將通過(guò)三星的Knox服務(wù)修補(bǔ)問(wèn)題，并稱：“更新將在幾天內(nèi)推出”。該公司表示，目前還不清楚是否所有受影響的手機(jī)都能得到修復(fù)。

　　三星公司稱，去年11月就發(fā)現(xiàn)了這一漏洞，今年3月為移動(dòng)運(yùn)營(yíng)商提供了補(bǔ)丁。但一些運(yùn)營(yíng)商可能沒(méi)有及時(shí)推送這一補(bǔ)丁，即便是運(yùn)營(yíng)商及時(shí)推送，也會(huì)有一些用戶不愿意及時(shí)更新。

　　三星公司還表示，這個(gè)漏洞的風(fēng)險(xiǎn)被夸大，如果黑客要利用這一漏洞執(zhí)行惡意代碼，他們必須和三星手機(jī)在同一個(gè)未加密的網(wǎng)絡(luò)中，而且即便黑客執(zhí)行了惡意代碼，也能被三星的安全軟件攔截。他們未來(lái)數(shù)天將向所有三星移動(dòng)設(shè)備推送安全補(bǔ)丁。

　　SwiftKey：該漏洞不容易被利用

　　英國(guó)科技公司SwiftKey在一份公開聲明中表示，他們已經(jīng)發(fā)現(xiàn)了該缺陷。這是把該鍵盤集成到三星手機(jī)的方式和技術(shù)產(chǎn)生的安全漏洞。

　　SwiftKey同時(shí)表示，這個(gè)漏洞并不容易被利用，黑客只能在鍵盤軟件更新時(shí)潛入手機(jī)。

　　專家解讀

　　用戶盡量在安全網(wǎng)絡(luò)中操作手機(jī)

　　美國(guó)信息技術(shù)研究和分析公司“加納公司”的手機(jī)安全研究主管迪奧尼西奧·蘇墨勒接受法晚記者采訪時(shí)表示，SwiftKey是一種手機(jī)鍵盤的應(yīng)用程序。在三星的例子里，SwiftKey以一些特定的特權(quán)運(yùn)行，這使得漏洞利用成為可能。

　　如果這一漏洞被攻擊者蓄意利用的話，將會(huì)對(duì)手機(jī)用戶造成很大的安全威脅。通過(guò)利用這一漏洞，攻擊者幾乎獲得了完全控制權(quán)，讓他們可以在設(shè)備上進(jìn)行任何操作。

　　蘇墨勒告訴記者，要利用漏洞進(jìn)行攻擊，攻擊者必須通過(guò)互聯(lián)網(wǎng)的第三人，也就是“中間人”進(jìn)行攻擊，這將攻擊范圍變得最小化。三星的手機(jī)用戶應(yīng)該盡量在安全的網(wǎng)絡(luò)進(jìn)行操作(例如在家中的網(wǎng)絡(luò))。

　　此外，手機(jī)安全管理應(yīng)用程序例如Skycure，同樣能夠檢查到發(fā)動(dòng)中間攻擊的攻擊者，避免手機(jī)遭到攻擊。

　　如果用戶是企業(yè)用戶，管理者可以通過(guò)移動(dòng)管理工具來(lái)攔截SwiftKey應(yīng)用程序。

　　列出的存安全漏洞的部分三星手機(jī)型號(hào)

　　Galaxy S6

　　Galaxy S5

　　Galaxy S4

　　Galaxy S4 Mini