移動安全公司NowSecure的安全人員瑞安·韋爾頓(Ryan Welton)週二在倫敦舉辦的黑帽子安全峯會(Black Hat)上公佈了存在於三星鍵盤的一個很嚴重的漏洞,黑客可以通過這個漏洞窺探用户信息以及控制手機。
韋爾頓發現三星手機上默認安裝的SwiftKey鍵盤應用會掃描語言更新包,包括未經加密的文件,這就給了韋爾頓一個建立欺騙代理服務器並把惡意代碼傳入手機的機會。在手機中有了後門之後,他就可以通過很多手段擴大自己的權限並最終在用户毫不知情的情況下控制手機。
據悉,早在去年11月NowSecure便已聯繫了三星對其發出警告。當時三星在12月16日請求給予更多的時間。在12月31日,三星要求給予一年時間修復漏洞,但NowSecure覺得一年時間太長,容易被黑客發現。最後,兩家公司在3月份達成協議在三個月後公佈此漏洞。在這期間,三星為Android4.2及以上系統更新了補丁。
上週,韋爾頓從美國無線運營商Verizon和Sprint購買了兩部新的三星Galaxy S6,發現這兩部手機仍然存在安全漏洞。一名NowSecure發言人表示,除了Galaxy S6,三星的主要產品線包括S3、S4、S5、Note3、Note4都可能存在同樣的問題。該發言人同時指出,Google Play和Apple Store上的SwiftKey鍵盤應用並沒有這類安全問題。但由於三星默認安裝的SwiftKey為系統鍵盤不能卸載,即使使用其他鍵盤作為默認鍵盤,這個漏洞同樣可以被利用。
NowSecure表示,截至目前並未發現三星針對此漏洞作出補丁更新。
本文轉載請註明來源:http://www.leiphone.com/news/201506/LEfHqSr09vdmLu3e.html
資料來源:雷鋒網
作者/編輯:金紅
請按此登錄後留言。未成為會員? 立即註冊