移動安全公司NowSecure的安全人員瑞安·韋爾頓（Ryan Welton）周二在倫敦舉辦的黑帽子安全峰會(Black Hat)上公布了存在于三星鍵盤的一個很嚴重的漏洞，黑客可以通過這個漏洞窺探用戶信息以及控制手機。

韋爾頓發(fā)現(xiàn)三星手機上默認安裝的SwiftKey鍵盤應(yīng)用會掃描語言更新包，包括未經(jīng)加密的文件，這就給了韋爾頓一個建立欺騙代理服務(wù)器并把惡意代碼傳入手機的機會。在手機中有了后門之后，他就可以通過很多手段擴大自己的權(quán)限并最終在用戶毫不知情的情況下控制手機。

據(jù)悉，早在去年11月NowSecure便已聯(lián)系了三星對其發(fā)出警告。當時三星在12月16日請求給予更多的時間。在12月31日，三星要求給予一年時間修復(fù)漏洞，但NowSecure覺得一年時間太長，容易被黑客發(fā)現(xiàn)。最后，兩家公司在3月份達成協(xié)議在三個月后公布此漏洞。在這期間，三星為安卓4.2及以上系統(tǒng)更新了補丁。

上周，韋爾頓從美國無線運營商Verizon和Sprint購買了兩部新的三星Galaxy S6，發(fā)現(xiàn)這兩部手機仍然存在安全漏洞。一名NowSecure發(fā)言人表示，除了Galaxy S6，三星的主要產(chǎn)品線包括S3、S4、S5、Note3、Note4都可能存在同樣的問題。該發(fā)言人同時指出，Google Play和Apple Store上的SwiftKey鍵盤應(yīng)用并沒有這類安全問題。但由于三星默認安裝的SwiftKey為系統(tǒng)鍵盤不能卸載，即使使用其他鍵盤作為默認鍵盤，這個漏洞同樣可以被利用。

NowSecure表示，截至目前并未發(fā)現(xiàn)三星針對此漏洞作出補丁更新。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。