6月19日更新:三星详细介绍了如何确保获得该漏洞的修复程序。
6月18日更新:三星告诉 Android Central 它正在准备一个安全更新,它不必等待运营商的完整系统更新。
三星的股票键盘 - 就像其手机上的一样 - 是安全公司 NowSecure的 一个 主题 ,其中详细说明了一个可能允许在手机上远程执行代码的缺陷。 三星的内置键盘使用SwiftKey软件开发套件进行预测和语言包,这就是发现漏洞利用的地方。
NowSecure 标题为“三星键盘安全风险披露:全球超过600M +设备受到影响”。 这听起来很恐怖。 (特别是当它包括鲜红色背景和通常被称为死面的可怕图像时。)
所以你需要担心吗? 可能不是。 让我们分解吧。
第一件事是第一件事:我们已经向我们证实,我们在谈论Galaxy S6,Galaxy S5,Galaxy S4和GS4 Mini上的三星股票键盘 - 而 不是 你可以从Google Play或Apple App Store下载的SwiftKey版本。 这是两件截然不同的事情。 (如果你没有使用三星手机,显然这一切都不适用于你。)
我们联系了SwiftKey,它给了我们以下声明:
我们已经看到有关使用SwiftKey SDK的三星股票键盘相关安全问题的报告。 我们可以确认通过Google Play或Apple App Store提供的SwiftKey键盘应用程序不受此漏洞的影响。 我们非常重视这种方式的报告,目前正在进一步调查。
我们当天早些时候还与三星联系,但尚未收到任何评论。 如果我们得到一个,我们会更新。
通过 NowSecure 关于漏洞利用 的 技术博客,我们可以一瞥正在发生的事情。 (如果您自己阅读,请注意他们说“Swift”的意思是“SwiftKey”。)如果您连接到不安全的接入点(例如开放的Wifi网络),则可能有人拦截和更改SwiftKey语言在更新时会打包(由于显而易见的原因,它们会定期执行这些操作 - 改进了预测,而不是更新),从攻击者那里发送手机数据。
能够背负这是不好的。 但是,再次,它依赖于你首先在一个不安全的网络上(你真的不应该 - 避免不使用无线安全的公共热点,或考虑VPN)。 有人在那里做一些邪恶的事情。
这取决于你有一个未修补的设备。 正如 NowSecure 本身指出的那样,三星已经向运营商提交了补丁。 它只是不知道有多少推动了补丁,或者最终有多少设备仍然容易受到攻击。
这些是很多变量和未知数,最终加起来确实需要(并且已经)修补的另一个学术漏洞(而不是具有现实意义的漏洞),尽管它确实强调了控制运营商的重要性更新到美国的手机,以便更快地推出更新。
6月17日更新: SwiftKey在博客文章中说:
我们为三星提供核心技术,为键盘中的单词预测提供支持。 看来,这项技术在三星设备上的集成方式引入了安全漏洞。 我们正在尽一切努力支持我们的长期合作伙伴三星努力解决这个模糊但重要的安全问题。
有问题的漏洞风险较低:用户必须连接到受损网络(例如欺骗性的公共Wi-Fi网络),其中拥有合适工具的黑客专门用于访问其设备。 只有当用户的键盘在特定时间进行语言更新,同时连接到受感染的网络时,才能进行此访问。
