最後,填補著名的三星Galaxy Swiftkey缺陷的補丁比預期的要快。幾天前,安全研究人員透露,這種漏洞將使黑客能夠控制從S4到S6的任何模型(見下文)。三星已經在2015年初開發了一個補丁,但散佈很大。確實,根據商業協議,SwiftKey鍵盤本地集成到三星系統中。當從操作員那裡購買設備時,是後者廣播了系統更新。顯然似乎需要時間。
為了解決這個問題,三星找到了另一個解決方案。他很快將通過他的三星諾克斯套房播放一個補丁,該套房提供了一大堆安全功能,通常安裝在終端上。“三星諾克斯有能力直接通過赫茲(Hertsian)路線(直播)更新電話的安全政策,從而可以消除該問題引起的所有潛在漏洞。安全政策的更新將在幾天之內傳播。此外,我們與Swiftke合作,將來與Swiftkey合作處理將來的潛在風險。”,三星向網站解釋androidcentral.com。
2015年6月16日發表的文章
海盜幾乎可以控制所有三星星系
更新機制中的一個缺陷使得可以在Galaxy S4,S5和S6上安裝和執行任意代碼。三星已經開發了一個補丁,但是要進行廣播需要時間。
在6月16日至17日在倫敦舉行的Blackhat Mobile Security峰會會議之際,該公司的安全研究員Ryan Welton NowSecure表明,可以將任何Samsung Galaxy智能手機從S4模型中砍成最新S6。這代表了全球發行量約6億智能手機的瑣事。
該缺陷將安裝Maveillant應用程序,而用戶可以注意到它。它可訪問手機,相機,GPS或麥克風等物質資源。因此,這是監視星系用戶並從他那裡竊取數據的理想方式。壞消息是,如果用戶在移動運營商中獲得了手機,他幾乎無能為力:只有後者才能分發保存補丁。
為了製作黑客,瑞安·韋爾頓(Ryan Welton)依靠所有最新的三星Galaxy:Swiftkey鍵盤上的知名和自動應用程序。自Galaxy S4推出以來,它已將其本地集成到三星智能手機中。因此,此應用程序具有很高的執行特權(“系統用戶”)。
一個不潔的更新過程
但是研究人員發現,虛擬鍵盤更新不是以量化的方式進行的。例如,應用程序包清楚地下載,因此可以通過“中間人中的人”攻擊來修改。因此,這使您可以在手機上安裝任何代碼,包括可執行的代碼。
瑞安·韋爾頓(Ryan Welton)在2014年11月發現該缺陷時顯然與三星聯繫。華爾街日報,製造商要求他保留此信息,直到2015年底,但是研究人員說這一時期太長了。他利用Blackhat會議將其公開。三星在2015年初開發了一個補丁,但必須由每個用戶的移動操作員播放。一個可能漫長而復雜的過程。同時,建議避免激發幾乎沒有信心的網絡,因為SwiftKey鍵槃無法卸載。
資料來源:
