三星Galaxy手机输入法曝高危漏洞,攻击者可监控用户摄像头、短信以及安装恶意程序
三星Galaxy手机近日曝高危漏洞,黑客可暗中监控用户的摄像头和麦克风,读取输入和传出的短信以及安置恶意使用步伐,影响全球凌驾6亿三星手机用户。
漏洞描述
该漏洞存在于三星定制版SwiftKey输入法的更新机制中,运用于三星Galaxy S6,S5,以及其他几个Galaxy系列手机中。当下载更新软件时,三星设备并不会对该可执行文件进行加密处置惩罚,这就使得攻击者有机会修改其上行流量 (如位于同一个Wi-Fi网络的),用恶意攻击载荷来替换合法的文件。该漏洞是在周二的伦敦黑帽安全大会上被一名来自nowsecure安全公司的研讨员 -Ryan威尔顿所证明的。
手机预装的三星输入法,为三星定制版SwiftKey,其会定期盘问授权服务器对于键盘APP以及其他附加的语言包是否有效可用。攻击者在中心人的位置可以假冒服务器并发送一个包含恶意有效载荷的响应,使其注入到一个语言包更新步伐中。由于三星手机为更新步伐提供了特殊的提升权限,因此恶意有效载荷就可以或许有效避开保护系统,进入谷歌的Android操作系统,。
令人惊讶的是,在键盘更新过程中ZIP存档文件的发送并不是通过传输层安全加密进行保护的,因此极易遭到中心人的窜改。系统计划者要求将这个文件的 内容与之前发送得手机上的清单文件进行匹配,但这个要求对于安全并没有起到有效的意义。根据这个解决措施,Welton给易受攻击的手机发送了假冒的清单 文件,其中包含恶意有效载荷的SHA1 hash。他还提供了很多有关潜伏漏洞方面的细节等等。
Welton称无论手机设置装备摆设什么样的键盘,漏洞都是存在的——纵然不用三星的输入法键盘,攻击仍然可能发生。在攻击理论方面,利用这个漏洞对于攻击者来说需要耐烦,由于他们必须等待更新机制启动时,或是手机开启,以及间隔时段才可以进行攻击。
影响范畴
Welton 说他已经确认该漏洞主要活泼在三星Galaxy S6的Verizon和Sprint网络,Galaxy S5的T-Mobile,以及Galaxy S4 Mini的AT&T。据报道Welton已经向三星,谷歌,以及美国CERT提出此漏洞,该漏洞被命名为“CVE-2015-2865”。这个漏 洞的源头在SwiftKey提供的软件开发工具包中,但它也涉及到三星在其Galaxy系列手机中实现它的方法。
官方声明
在一份电子声明中,SwiftKey官方写道:
“我们已经看到关于使用SwiftKey SDK的三星库存键盘的安全问题报告。我们可以保证,SwiftKey键盘APP在谷歌Play store或苹果APP store都可以使用,并不受此漏洞的影响。我们十分重视这方面的报道,目前正在进一步调查。”
研讨人员称,三星已向移动网络运营商提供了一个补丁,但他无法相识这些主要的运营商是否使用了此补丁。正如ARS在之前已经报道过,运营商一直未能及时提供安全更新。
- 文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。
TAG:
|
评论加载中...
|
下一篇: 京东阿里战火烧到俄罗斯
