三星手機可能存在安全漏洞

zjjdyb · 發(fā)表于 2013-12-26 11:49

據(jù)以色列Ben-Gurion大學(xué)的網(wǎng)絡(luò)安全研究員稱，最暢銷的三星Galaxy S4智能手機的安全平臺SEOUL存在安全漏洞，可能允許惡意軟件跟蹤?quán)]件和記錄數(shù)據(jù)通信。

這個月的早些時候，在Ben-Gurion大學(xué)的網(wǎng)絡(luò)安全的實驗室里，研究員Mordechai Guri在工作與移動安全不相關(guān)的一個項目上偶然發(fā)現(xiàn)了這個安全漏洞，并通過在零售商店購買了多個Galaxy S4來測試得出這個結(jié)論，但是他并不知道這個漏洞存在了多久。他指出該漏洞會允許黑客輕松的攔截已啟用Knox的Galaxy智能手機用戶的安全數(shù)據(jù)。他還補充道，在最壞的情況下，黑客可以修改數(shù)據(jù)，甚至可以插入惡意代碼，該代碼可以在安全的網(wǎng)絡(luò)中瘋狂的運行。
然而，Knox最初不是預(yù)裝在Galaxy S4上而是裝在Note3上的，但是Galaxy S4的用戶可以下載，任意的用戶都可以關(guān)掉該軟件，以色列的研究員說只在Galaxy S4上發(fā)現(xiàn)了漏洞。他的博士生導(dǎo)師Yuval Elovici在一次電話采訪中說他學(xué)生的發(fā)現(xiàn)是非常非常令人震驚的。Yuval Elovici先生負(fù)責(zé)運行大學(xué)的網(wǎng)絡(luò)安全實驗室，并不會為以色列國防部工作。

為了與黑莓公司競爭，三星公司為美國國防部及其他政府機構(gòu)和公司的潛在客戶進行產(chǎn)品推介，由此推出了Knox安全軟件，這種軟件已在具有安全意識的客戶中樹立了黃金標(biāo)準(zhǔn)有些年頭了。

三星已經(jīng)花了相當(dāng)大的代價讓Knox融入手機硬件和軟件開發(fā)中，并設(shè)計系統(tǒng)讓它足夠敏感，與工作相關(guān)的數(shù)據(jù)可以存儲在受密碼保護的手機內(nèi)部，完全獨立于手機的其他功能和應(yīng)用。目的就是讓政府和企業(yè)在工作中用他們的設(shè)備，不會危及保密工作數(shù)據(jù)的安全。

Ben-Gurion大學(xué)實驗室的首席技術(shù)官Dudu Mimran聲明，新公布的漏洞對所有用Knox的用戶造成了嚴(yán)重的威脅，例如Galaxy S4的用戶。三星公司稱已著手調(diào)查這一指控，并說初步調(diào)查顯示的問題并不像以色列研究員所說的那么嚴(yán)重。三星的發(fā)言人說公司會嚴(yán)肅處理所有對安全漏洞的指控，并承諾會進一步調(diào)查Ben-Gurion大學(xué)的宣稱。然而，三星的發(fā)言人說，初步調(diào)查顯示，威脅似乎是一些已知的攻擊。他還補充道，該大學(xué)實驗室違反的原則是，在沒有完全加載額外軟件的客戶端下與Knox一起使用，并讓大家放心，Knox的核心體系結(jié)構(gòu)不會被泄露或被滲入這類惡意軟件。

據(jù)一個熟悉開發(fā)三星項目的人說，幾個安全漏洞在開發(fā)并推出Knox時已經(jīng)出現(xiàn)了，并被認(rèn)為是軟件開發(fā)過程中正常的部分。三星公司說正在努力解決Knox的問題，并在月初，已發(fā)布了修補程序，用來解決影響在Note3上運行的Knox漏洞。在一份聲明中，三星公司說Note3的漏洞威脅到運用Knox的設(shè)備的完整性了，但是已得到了解決，并稱安全修補程序正被推廣到所有受影響的設(shè)備中。

美國國防部的Damien Pickart說政府不會評論可能存在的安全漏洞，且五角大樓使用的設(shè)備都是已被證明是安全的，況且三星Knox安全系統(tǒng)還未被我們使用，但是與國家安全機構(gòu)一起工作的國防信息系統(tǒng)局，購買了500臺S4用來測試一個部分的試點項目，該項目尚未部署且仍在測試中。更具體的說，官員們已意識到Knox平臺上有安全漏洞了，三星說正與國防信息系統(tǒng)局協(xié)商解決這些問題。官員們說這類安全漏洞是正常的，他們希望在安全的網(wǎng)絡(luò)上測試的設(shè)備能繼續(xù)被發(fā)現(xiàn)問題并解決。如果三星手機被批準(zhǔn)使用五角大樓的網(wǎng)絡(luò)，官員們也會確保手機的通信的安全。

佐治亞理工學(xué)院的計算機教授及移動安全專家Patrick Traynor說，該漏洞似乎是合法的，但他表示，很難確定這次的漏洞是否可以得到輕松的解決，并說Knox有漏洞一點也不驚訝，就像其他所有的軟件一樣都會有意想不到的弱點。但是這個問題似乎很嚴(yán)重了且必須馬上修補。值得一提的是， Patrick Traynor先生既沒有用Knox也不是以色列的研究員。對于像Patrick Trayno先生這樣的網(wǎng)絡(luò)專家而言，手機設(shè)備出現(xiàn)了問題是很重要的，因為他們認(rèn)為最重要的操作和數(shù)據(jù)都會很快地保留在手機上。

在這事件中，Ben-Gurion大學(xué)的研究員是正確的，他們說的這個安全漏洞會被分類為“category one”漏洞。國防信息系統(tǒng)局負(fù)責(zé)外地安全業(yè)務(wù)的機構(gòu)在5月3號發(fā)布了討論三星Knox的文檔，稱這是最嚴(yán)重的一種漏洞，這個機構(gòu)管理五角大樓的設(shè)備。除五角大樓外，Galaxy S4是世界上最受歡迎的智能手機之一。三星公司會不定期的公布Galaxy S4的銷售量，并說它在5月份商業(yè)首次亮相的一個月內(nèi)就售出了超過1000萬臺。

以色列實驗室的Mimran先生說，他們所說的致命性，是利用設(shè)備的安全，甚至是相對簡單的應(yīng)用，例如像面向兒童的手機游戲的威脅。即使是在沒有安裝Knox的設(shè)備上使用這樣的應(yīng)用，惡意軟件也能夠被激活來記錄所有的通信數(shù)據(jù)。對我們來說，Knox是最先進的安全移動軟件了，發(fā)現(xiàn)這樣一個大漏洞的存在我很驚訝，Mimran先生說他很樂意和三星公司一起解決這個問題。

› 報到 / 閑聊 / 交易 / 自拍 › 閑聊茶樓

三星手機可能存在安全漏洞

三星手機可能存在安全漏洞