一名安全研究人员在三星默认键盘中发现了一个软件漏洞,该漏洞已使超过 600 亿部智能手机面临被黑客攻击的风险。 NowSecure 的 Ryan Welton 详细介绍了数百万部三星手机中预装的 SwiftKey 键盘的漏洞。以更新形式搜索语言包并下载它们并不通过加密连接进行,而是仅以纯文本形式发送。
Welton 能够通过创建欺骗代理服务器并向易受攻击的设备发送恶意代码以及确保恶意代码保留在设备上的数据验证来利用此漏洞。 一旦韦尔顿获得了受感染手机的访问权限,他就可以立即开始使用这些设备,而无需 以便用户了解它。如果攻击者利用该安全漏洞,他们可能会窃取敏感数据,包括短信、联系人、密码或银行帐户登录信息。 更不用说该错误还可以被利用来跟踪用户。
三星去年 11 月就已经对上述问题发表了评论,并声称该错误将在具有以下功能的设备上修复: Android今年 4.2 月 om XNUMX 或更高版本。无论如何,NowSecure 表示该缺陷仍然存在,Welton 在伦敦智能手机安全峰会上演示了该缺陷 Galaxy 来自Verizon的S6也因此再次引起人们的关注。
NowSecure 的 Andrew Hoog 认为,该缺陷可以在一些关键和相对较新的设备上被利用,例如 Galaxy 注 3、注 4、 Galaxy S3、S4、S5等 Galaxy S6和S6边缘。这值得思考,因为韦尔顿表示,即使用户不使用三星键盘,由于键盘无法卸载,仍然存在敏感数据被滥用和窃取的风险。
在三星发布官方修复之前,韦尔顿建议智能手机用户 Galaxy 在它们无法识别的开放 WiFi 网络上使用它们时要非常小心,以尽量减少受到攻击的机会。潜在的黑客必须与智能手机用户位于同一网络上才能窃取数据。远程滥用只能通过夺取包含来自远程路由器的数据的 DNS 服务器来实现,幸运的是这也不容易。
三星没有对目前的情况发表评论。
*来源: SamMobile
