移動(dòng)安全公司NowSecure的安全人員瑞安·韋爾頓（Ryan Welton）周二在倫敦舉辦的黑帽子安全峰會(huì)(Black Hat)上公布了存在于三星鍵盤(pán)的一個(gè)很?chē)?yán)重的漏洞，黑客可以通過(guò)這個(gè)漏洞窺探用戶(hù)信息以及控制手機(jī)。

韋爾頓發(fā)現(xiàn)三星手機(jī)上默認(rèn)安裝的SwiftKey鍵盤(pán)應(yīng)用會(huì)掃描語(yǔ)言更新包，包括未經(jīng)加密的文件，這就給了韋爾頓一個(gè)建立欺騙代理服務(wù)器并把惡意代碼傳入手機(jī)的機(jī)會(huì)。在手機(jī)中有了后門(mén)之后，他就可以通過(guò)很多手段擴(kuò)大自己的權(quán)限并最終在用戶(hù)毫不知情的情況下控制手機(jī)。

據(jù)悉，早在去年11月NowSecure便已聯(lián)系了三星對(duì)其發(fā)出警告。當(dāng)時(shí)三星在12月16日請(qǐng)求給予更多的時(shí)間。在12月31日，三星要求給予一年時(shí)間修復(fù)漏洞，但NowSecure覺(jué)得一年時(shí)間太長(zhǎng)，容易被黑客發(fā)現(xiàn)。最后，兩家公司在3月份達(dá)成協(xié)議在三個(gè)月后公布此漏洞。在這期間，三星為安卓4.2及以上系統(tǒng)更新了補(bǔ)丁。

上周，韋爾頓從美國(guó)無(wú)線(xiàn)運(yùn)營(yíng)商Verizon和Sprint購(gòu)買(mǎi)了兩部新的三星Galaxy S6，發(fā)現(xiàn)這兩部手機(jī)仍然存在安全漏洞。一名NowSecure發(fā)言人表示，除了Galaxy S6，三星的主要產(chǎn)品線(xiàn)包括S3、S4、S5、Note3、Note4都可能存在同樣的問(wèn)題。該發(fā)言人同時(shí)指出，Google Play和Apple Store上的SwiftKey鍵盤(pán)應(yīng)用并沒(méi)有這類(lèi)安全問(wèn)題。但由于三星默認(rèn)安裝的SwiftKey為系統(tǒng)鍵盤(pán)不能卸載，即使使用其他鍵盤(pán)作為默認(rèn)鍵盤(pán)，這個(gè)漏洞同樣可以被利用。

NowSecure表示，截至目前并未發(fā)現(xiàn)三星針對(duì)此漏洞作出補(bǔ)丁更新。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。