【編者按】三星內(nèi)置SwiftKey的漏洞被視作一起非常嚴重的安全事件（雷鋒網(wǎng)新聞：三星手機鍵盤爆嚴重漏洞，想卸你都卸不掉！），而相對漏洞本身，雷鋒網(wǎng)更關(guān)注的是產(chǎn)生漏洞的背后：三星與“軟件供應(yīng)商”、“定制運營商”三者之間如何協(xié)調(diào)，為何一個早早就被發(fā)現(xiàn)的漏洞，卻讓用戶長期處于裸奔無防護的狀態(tài)？

日前，三星手機內(nèi)置的SwiftKey軟鍵盤被爆安全漏洞三星手機用戶在接入不安全的網(wǎng)絡(luò)時，有可能被植入惡意代碼，并以管理員權(quán)限刪除或修改系統(tǒng)重要文件。

問題描述

根據(jù)目前掌握的信息顯示，三星手機內(nèi)置的SwiftKey軟鍵盤的更新邏輯存在安全問題。

用戶在接入不安全的網(wǎng)絡(luò)時，例如咖啡館、酒店等公共Wi-Fi，或者手機與基站的通訊被劫持，攻擊者可以通過偽造更新服務(wù)器，向用戶推送惡意代碼，而本地的更新程序既不會檢查更新包的數(shù)字簽名，也不會檢查更新包即將覆蓋的文件是不是重要的或者敏感的，更由于更新程序擁有手機的root權(quán)限（管理員權(quán)限），因此攻擊者可以覆蓋用戶手機的任意文件。

更嚴重的問題在于，這個觸摸鍵盤是系統(tǒng)內(nèi)置的，既沒有辦法卸載，也不能通過禁用的方式來阻止其自動更新。

換句話說，如果用戶接入不安全網(wǎng)絡(luò)，此時一旦遭受攻擊，那么基本就處于無能為力的狀態(tài)了。目前已經(jīng)確認會受影響的手機型號包括：Galaxy S4、S5、S6和S4 Mini。

除了會遭受攻擊，本次漏洞還有更深層次問題

我們看到，本漏洞其實和微軟當年的中文輸入法漏洞的產(chǎn)生原因比較類似，都是操作系統(tǒng)廠商對第三方軟件（輸入法）的安全控制邏輯出了問題，鑒于SwiftKey輸入法的其他手機版本并不存在類似漏洞，我們還是更傾向于認為，三星自己的責任更大：

首先，輸入法更新程序與服務(wù)器之間的連接應(yīng)該進行相互的認證，確保不會被劫持。

其次，輸入法更新包被下載到本地后，應(yīng)該驗證其數(shù)字簽名，確保下載的更新包是原廠商制作的，沒有被修改替換。

然后，進行更新包升級時，也應(yīng)該仔細檢查更新文件訪問的目錄，避開敏感和重要的文件，防止更新包修改操作系統(tǒng)或其他應(yīng)用軟件。

同時，三星應(yīng)該更加仔細的檢查第三方提供的內(nèi)置應(yīng)用，確保其沒有嚴重的安全問題。

這個過程，簡單來說，就是以下圖片展示的流程：

本漏洞實際上是在幾個月之前就秘密提交了三星，直到最近才公布出來，但三星未能及時修復(fù)該漏洞，三星說他們早就提供了修復(fù)，但部分運營商不愿意推送該修復(fù)，具體內(nèi)情我們不得而知，推測其相關(guān)過程很可能是這樣的：

由于修補該漏洞涉及到“軟件供應(yīng)商”、“三星”和“定制運營商”三個部分，協(xié)調(diào)起來相對復(fù)雜，結(jié)果卻是三星的用戶長期處于裸奔無防護的狀態(tài)。

三星與軟件供應(yīng)商：一方面，三星作為手機生產(chǎn)廠家，擁有三星手機相關(guān)操作系統(tǒng)（也就是rom）的所有權(quán)；而另一方面，三星手機預(yù)裝的應(yīng)用程序，所有權(quán)則歸軟件供應(yīng)商所有，比如本次出問題的觸摸屏鍵盤。

三星與運營商：當三星與運營商合作推出定制機（比如三星移動版、聯(lián)通版和電信版）的時候，三星需要根據(jù)具體運營商的要求來定制手機操作系統(tǒng)，并且很可能會將該定制操作系統(tǒng)的運營權(quán)限（比如升級、修復(fù)漏洞）等等交給具體的運營商。

于是本次漏洞出來后，三星首先要協(xié)調(diào)軟件供應(yīng)商來修復(fù)相關(guān)的漏洞和配置，三星自己的手機操作系統(tǒng)也需要重新打包或者出一個新的熱補丁，然后，運營商才會對該升級或者補丁進行推送。這個過程相對漫長，也是為什么迄今仍有大量用戶尚未修復(fù)的最可能原因。

信息安全管理標準中，將“第三方管理”單獨列為一個部分，第三方不僅包括了產(chǎn)品、服務(wù)提供商，也包括了其他的合作伙伴，第三方管理不僅復(fù)雜，而且很容易被忽視。

在本次事件中，虛擬鍵盤的軟件供應(yīng)商和定制操作系統(tǒng)的運營商，都是三星的第三方，如何協(xié)調(diào)好這些合作伙伴，為用戶提供最大程度的安全，對任何企業(yè)都是一個巨大的挑戰(zhàn)。

普通用戶如何防范

大部分用戶目前尚沒有可用的官方補丁，而且無法完全禁止該內(nèi)置輸入法。一般情況下，root 后的防火墻也能防護，可以把輸入法的聯(lián)網(wǎng)權(quán)限給禁掉，但是三星自帶了硬件安全模塊，手機很難root，所以給普通用戶這個建議的意義不大。

因此普通用戶盡可能不要連接到不安全的網(wǎng)絡(luò)，或者暫時停止使用三星手機。在必須連接到不安全的網(wǎng)絡(luò)時，請使用可信的VPN連接。

寫在后面

事實上，此次事件很可能只是冰山一角，不排除三星的其他內(nèi)置應(yīng)用軟件也有類似的問題，而別的的手機廠商也未必能幸免，隨著手機在人們生活中的重要性越來越高，智能手機被攻擊的可能性也越來越大，未來必將成為嚴重的安全威脅。

從本次事件，我又進一步聯(lián)想到幾個月以前，知乎和微博上有人提出的“黑客能不能繞過HTTPS加密，竊取或篡改用戶的隱私數(shù)據(jù)”的問題，某些大V斬釘截鐵的認為不可能，然而殘酷的現(xiàn)實再一次揭開了真相——

在接入不安全網(wǎng)絡(luò)時，連手機的root權(quán)限都無法保障，何況隱私數(shù)據(jù)？

【注：西雅圖0xid工作組、啟明星辰積極防御實驗室、安謀網(wǎng)對本文的撰寫給予了大量的技術(shù)支持。】

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。