三星手机被曝存安全漏洞 漏洞波及范围广

一直被消费者看好的三星手机，近日竟被爆出键盘应用存在漏洞，用户信息可能被泄露，且本次曝光的漏洞波及范围很大。

据美国有线电视新闻网(CNN)日前报道，美国网络安全公司NowSecure发布最新报告称，三星手机的键盘应用存在漏洞，用户的大量信息可能因此被泄露。而这一漏洞，在大量三星的移动设备中暂时未得到修复。让人担忧的是，本次曝光的漏洞波及范围非常之大，所影响的设备数量超过了6亿，包括三星Galaxy S6、S5、S4和S4 mini在内的机型，以及Verizon、AT&T、Sprint和T-Mobile等运营商版本都无一幸免。

NowSecure发言人艾森·拉塞尔在接受记者采访时表示，三星手机存在的漏洞可能被黑客利用，窃取用户通讯录、短信、照片等重要信息。

对此，三星公司予以回应称，三星在今年3月就为该漏洞提供了补丁，但运营商可能没有及时推送，三星在未来数天内还会推出修复措施。

漏洞曝光

三星手机键盘程序 可被黑客利用控制手机

SwiftKey是一款键盘应用，预装在多款三星手机上，也可以通过谷歌和苹果的应用商店下载。美国安全公司NowSecure的报告称，它可以允许远程攻击者控制用户的网络流量，并在手机上执行任意代码。该软件是无法被卸载的，即使SwiftKey没有被设置为默认键盘，攻击者依然可以利用该漏洞。

SwiftKey在手机当中拥有很高的权限，可获取当中的大部分功能。通过利用这一漏洞，攻击者几乎获得了完全控制权，让他们可以在设备上进行任何操作，比如秘密安装恶意软件，使用设备的摄像头、麦克风和GPS，窃听通话、更改其他应用，甚至是窃取照片和短信。

NowSecure表示，他们在去年12月就已经将该漏洞通报给三星、美国计算机应急响应小组和谷歌的Android团队。

三星虽然在今年年初向运营商提供了修复补丁，但是目前并不清楚手机的运营商是否为用户的设备进行了修复。由于三星手机的型号以及全球运营商网络数量等因素，并不确定到底有多少手机用户仍然处于易被攻击的状态。

根据NowSecure的建议，用户目前最好避免使用不安全的Wi-Fi网络，或是暂时更换其他品牌的移动设备。

记者追访

报告发布公司：三星漏洞为“严重错误”

发布此次安全报告的NowSecure公司发言人艾森·拉塞尔接受记者采访时表示，SwiftKey这一内置应用程序不仅仅只有三星手机采用，但是NowSecure发现的是针对三星在手机安装上出现的问题。

对于三星的提供补丁的及时性，拉塞尔告诉记者，一般而言提供制造商提供修复补丁的时间长短不一。大体而言，手机的原设备制造商以及运营商需要为用户更快地提供修复补丁，特别是像三星手机此次遭遇的这样敏感的问题。而更为重要的一点是，在三星发布手机之前，需要更有效地测试其加载的应用程序，避免这样的问题发生。

拉塞尔表示，这些问题的发生就是因为开发商以及手机的原设备制造商在他们正式发布手机之前，在开发和测试应用程序上并没有遵守行业内最佳的准则。

拉塞尔进一步指出，我们将三星此次的漏洞归类为“严重错误”。具体而言，在行业的公开标准、“通用漏洞评分系统”中被评为8.3分(10分为严重等级的最高分)。之所以被归类为严重错误，是因为用户无法通过升级或是自己的操作来解决该问题，只能通过运营商提供的补丁才能修复。

半年前已告知三星 漏洞至今未得到修复

NowSecure公司研究人员安德鲁告诉记者，该公司去年就已经把该漏洞告知了三星公司，但半年多过去了，漏洞依然没有得到修复。这就是NowSecure为何会选择现在公开这个调查结果的原因。