|
|
移動安全公司NowSecure的安全人員里安•韋爾頓(Ryan Welton)週二在倫敦舉辦的黑帽子安全峰會(Black Hat)上公佈了存在于三星鍵盤的一個很嚴重的漏洞,駭客可以通過這個漏洞窺探使用者資訊以及控制手機。
韋爾頓發現三星手機上預設安裝的SwiftKey鍵盤應用會掃描語言更新包,包括未經加密的檔,這就給了韋爾頓一個建立欺騙代理伺服器並把惡意程式碼傳入手機的機會。在手機中有了後門之後,他就可以通過很多手段擴大自己的許可權並最終在使用者毫不知情的情況下控制手機。
據悉,早在去年11月NowSecure便已聯繫了三星對其發出警告。當時三星在12月16日請求給予更多的時間。在12月31日,三星要求給予一年時間修復漏洞,但NowSecure覺得一年時間太長,容易被駭客發現。最後,兩家公司在3月份達成協議在三個月後公佈此漏洞。在這期間,三星為安卓4.2及以上系統更新了補丁。
上周,韋爾頓從美國無線運營商Verizon和Sprint購買了兩部新的三星Galaxy S6,發現這兩部手機仍然存在安全性漏洞。一名NowSecure發言人表示,除了Galaxy S6,三星的主要產品線包括S3、S4、S5、Note3、Note4都可能存在同樣的問題。該發言人同時指出,Google Play和Apple Store上的SwiftKey鍵盤應用並沒有這類安全問題。但由於三星預設安裝的SwiftKey為系統鍵盤不能卸載,即使使用其他鍵盤作為預設鍵盤,這個漏洞同樣可以被利用。
NowSecure表示,截至目前並未發現三星針對此漏洞作出補丁更新。
|
|
在線雷達
發表於 2015-6-17 19:50:43
廣播
置頂
推舊帖
收嗲鳥
油顏色
發表於 2015-6-20 11:42:31