美安全公司發佈報告稱 攻擊者可安裝惡意軟體 竊取超6億用戶資訊 三星表示將推送安全補丁

　　據美國有線電視新聞網(CNN)日前報道，美國網路安全公司NowSecure發佈最新報告稱，的鍵盤應用存在漏洞，用戶的大量資訊可能因此被洩露。而這一漏洞，在大量三星的移動設備中暫時未得到修復，其中包括最新款的Galaxy S6等，波及全球超6億用戶。

　　NowSecure發言人艾森·拉塞爾在接受《法制晚報》記者採訪時表示，三星手機存在的漏洞可能被駭客利用，竊取用戶通訊錄、短信、照片等重要資訊。

　　對此，三星公司予以回應稱，三星在今年3月就為該漏洞提供了補丁，但運營商可能沒有及時推送，三星在未來數天內還會推出修復措施。

　　漏洞曝光

　　三星手機鍵盤程式 可被駭客利用控制手機

　　SwiftKey是一款鍵盤應用，預裝在多款三星手機上，也可以通過谷歌和蘋果的應用商店下載。美國安全公司NowSecure的報告稱，它可以允許遠端攻擊者控制用戶的網路流量，並在手機上執行任意代碼。該軟體是無法被卸載的，即使SwiftKey沒有被設置為默認鍵盤，攻擊者依然可以利用該漏洞。

　　SwiftKey在手機當中擁有很高的許可權，可獲取當中的大部分功能。通過利用這一漏洞，攻擊者幾乎獲得了完全控制權，讓他們可以在設備上進行任何操作，比如秘密安裝惡意軟體，使用設備的攝像頭、麥克風和GPS，竊聽通話、更改其他應用，甚至是竊取照片和短信。

　　NowSecure表示，他們在去年12月就已經將該漏洞通報給三星、美國電腦應急響應小組和谷歌的Android團隊。

　　三星雖然在今年年初向運營商提供了修復補丁，但是目前並不清楚手機的運營商是否為用戶的設備進行了修復。由於三星手機的型號以及全球運營商網路數量等因素，並不確定到底有多少手機用戶仍然處於易被攻擊的狀態。

　　報道稱，讓人擔憂的是，本次曝光的漏洞波及範圍非常之大，所影響的設備數量超過了6億，包括三星Galaxy S6、S5、S4和S4 mini在內的機型，以及Verizon、AT&T、Sprint和T-Mobile等運營商版本都無一倖免。

　　根據NowSecure的建議，用戶目前最好避免使用不安全的Wi-Fi網路，或是暫時更換其他品牌的移動設備。

　　記者追訪

　　報告發佈公司：三星漏洞為“嚴重錯誤”

　　發佈此次安全報告的NowSecure公司發言人艾森·拉塞爾接受法晚記者採訪時表示，SwiftKey這一內置應用程式不僅僅只有三星手機採用，但是NowSecure發現的是針對三星在手機安裝上出現的問題。

　　對於三星的提供補丁的及時性，拉塞爾告訴記者，一般而言提供製造商提供修復補丁的時間長短不一。大體而言，手機的原設備製造商以及運營商需要為用戶更快地提供修復補丁，特別是像三星手機此次遭遇的這樣敏感的問題。而更為重要的一點是，在三星發佈手機之前，需要更有效地測試其載入的應用程式，避免這樣的問題發生。

　　拉塞爾表示，這些問題的發生就是因為開發商以及手機的原設備製造商在他們正式發佈手機之前，在開發和測試應用程式上並沒有遵守行業內最佳的準則。

　　拉塞爾進一步指出，我們將三星此次的漏洞歸類為“嚴重錯誤”。具體而言，在行業的公開標準、“通用漏洞評分系統”中被評為8.3分(10分為嚴重等級的最高分)。之所以被歸類為嚴重錯誤，是因為用戶無法通過升級或是自己的操作來解決該問題，只能通過運營商提供的補丁才能修復。

　　半年前已告知三星 漏洞至今未得到修復

　　NowSecure公司研究人員安德魯告訴法晚記者，該公司去年就已經把該漏洞告知了三星公司，但半年多過去了，漏洞依然沒有得到修復。這就是NowSecure為何會選擇現在公開這個調查結果的原因。

　　NowSecure測試了幾款不同的三星Galaxy 手機，結果顯示，這些手機都容易受到攻擊。這個問題涉及三星設備所使用的單詞預測軟體，由英國科技公司SwiftKey研發，三星手機都安裝了該軟體。三星沒有對鍵盤更新進行加密。去年，我們發現三星手機用戶在軟體更新時，可能會接收惡意文件，病毒可以訪問某些手機系統最核心的部件。

　　駭客可以利用這個漏洞欺騙鍵盤的代理服務系統，從而操控手機的感測器和應用，甚至還能秘密安裝惡意軟體。駭客還可以劫持三星安卓系統智慧手機內置鍵盤的更新過程，進而竊聽用戶的通話，查看短信和聯繫人，或打開麥克風錄音。也就是説，駭客可以在你的手機上做任何事情。

　　三星回應

　　重視新安全威脅 近期將推送安全補丁

　　三星電子中國區弘報(宣傳)部門負責人陳曦在接受《法制晚報》記者採訪時表示，“報道中提到的三星手機存在漏洞這一消息，我們已經知曉，但具體技術問題還要交給公司相關人員處理。”

　　三星電子在一份聲明中表示，他們“非常重視新出現的安全威脅，並致力於提供最新的移動安全性，我們在過去的一週充分了解了問題的嚴重程度”，將通過三星的Knox服務修補問題，並稱：“更新將在幾天內推出”。該公司表示，目前還不清楚是否所有受影響的手機都能得到修復。

　　三星公司稱，去年11月就發現了這一漏洞，今年3月為移動運營商提供了補丁。但一些運營商可能沒有及時推送這一補丁，即便是運營商及時推送，也會有一些用戶不願意及時更新。

　　三星公司還表示，這個漏洞的風險被誇大，如果駭客要利用這一漏洞執行惡意代碼，他們必須和三星手機在同一個未加密的網路中，而且即便駭客執行了惡意代碼，也能被三星的安全軟體攔截。他們未來數天將向所有三星移動設備推送安全補丁。

　　SwiftKey：該漏洞不容易被利用

　　英國科技公司SwiftKey在一份公開聲明中表示，他們已經發現了該缺陷。這是把該鍵盤整合到三星手機的方式和技術産生的安全漏洞。

　　SwiftKey同時表示，這個漏洞並不容易被利用，駭客只能在鍵盤軟體更新時潛入手機。

　　專家解讀

　　用戶儘量在安全網路中操作手機

　　美國資訊技術研究和分析公司“迦納公司”的手機安全研究主管迪奧尼西奧·蘇墨勒接受法晚記者採訪時表示，SwiftKey是一種手機鍵盤的應用程式。在三星的例子裏，SwiftKey以一些特定的特權運作，這使得漏洞利用成為可能。

　　如果這一漏洞被攻擊者蓄意利用的話，將會對手機用戶造成很大的安全威脅。通過利用這一漏洞，攻擊者幾乎獲得了完全控制權，讓他們可以在設備上進行任何操作。

　　蘇墨勒告訴記者，要利用漏洞進行攻擊，攻擊者必須通過網際網路的第三人，也就是“中間人”進行攻擊，這將攻擊範圍變得最小化。三星的手機用戶應該儘量在安全的網路進行操作(例如在家中的網路)。

　　此外，手機安全管理應用程式例如Skycure，同樣能夠檢查到發動中間攻擊的攻擊者，避免手機遭到攻擊。

　　如果用戶是企業用戶，管理者可以通過移動管理工具來攔截SwiftKey應用程式。(記者 黎史翔 張潔清)

　　NowSecure

　　列出的存安全漏洞的部分三星手機型號

　　Galaxy S6

　　Galaxy S5

　　Galaxy S4

　　Galaxy S4 Mini