三星手機(jī)可能存在安全漏洞

zjjdyb · 發(fā)表于 2013-12-26 11:49

據(jù)以色列Ben-Gurion大學(xué)的網(wǎng)絡(luò)安全研究員稱，最暢銷的三星Galaxy S4智能手機(jī)的安全平臺(tái)SEOUL存在安全漏洞，可能允許惡意軟件跟蹤?quán)]件和記錄數(shù)據(jù)通信。

這個(gè)月的早些時(shí)候，在Ben-Gurion大學(xué)的網(wǎng)絡(luò)安全的實(shí)驗(yàn)室里，研究員Mordechai Guri在工作與移動(dòng)安全不相關(guān)的一個(gè)項(xiàng)目上偶然發(fā)現(xiàn)了這個(gè)安全漏洞，并通過(guò)在零售商店購(gòu)買了多個(gè)Galaxy S4來(lái)測(cè)試得出這個(gè)結(jié)論，但是他并不知道這個(gè)漏洞存在了多久。他指出該漏洞會(huì)允許黑客輕松的攔截已啟用Knox的Galaxy智能手機(jī)用戶的安全數(shù)據(jù)。他還補(bǔ)充道，在最壞的情況下，黑客可以修改數(shù)據(jù)，甚至可以插入惡意代碼，該代碼可以在安全的網(wǎng)絡(luò)中瘋狂的運(yùn)行。
然而，Knox最初不是預(yù)裝在Galaxy S4上而是裝在Note3上的，但是Galaxy S4的用戶可以下載，任意的用戶都可以關(guān)掉該軟件，以色列的研究員說(shuō)只在Galaxy S4上發(fā)現(xiàn)了漏洞。他的博士生導(dǎo)師Yuval Elovici在一次電話采訪中說(shuō)他學(xué)生的發(fā)現(xiàn)是非常非常令人震驚的。Yuval Elovici先生負(fù)責(zé)運(yùn)行大學(xué)的網(wǎng)絡(luò)安全實(shí)驗(yàn)室，并不會(huì)為以色列國(guó)防部工作。

為了與黑莓公司競(jìng)爭(zhēng)，三星公司為美國(guó)國(guó)防部及其他政府機(jī)構(gòu)和公司的潛在客戶進(jìn)行產(chǎn)品推介，由此推出了Knox安全軟件，這種軟件已在具有安全意識(shí)的客戶中樹(shù)立了黃金標(biāo)準(zhǔn)有些年頭了。

三星已經(jīng)花了相當(dāng)大的代價(jià)讓Knox融入手機(jī)硬件和軟件開(kāi)發(fā)中，并設(shè)計(jì)系統(tǒng)讓它足夠敏感，與工作相關(guān)的數(shù)據(jù)可以存儲(chǔ)在受密碼保護(hù)的手機(jī)內(nèi)部，完全獨(dú)立于手機(jī)的其他功能和應(yīng)用。目的就是讓政府和企業(yè)在工作中用他們的設(shè)備，不會(huì)危及保密工作數(shù)據(jù)的安全。

Ben-Gurion大學(xué)實(shí)驗(yàn)室的首席技術(shù)官Dudu Mimran聲明，新公布的漏洞對(duì)所有用Knox的用戶造成了嚴(yán)重的威脅，例如Galaxy S4的用戶。三星公司稱已著手調(diào)查這一指控，并說(shuō)初步調(diào)查顯示的問(wèn)題并不像以色列研究員所說(shuō)的那么嚴(yán)重。三星的發(fā)言人說(shuō)公司會(huì)嚴(yán)肅處理所有對(duì)安全漏洞的指控，并承諾會(huì)進(jìn)一步調(diào)查Ben-Gurion大學(xué)的宣稱。然而，三星的發(fā)言人說(shuō)，初步調(diào)查顯示，威脅似乎是一些已知的攻擊。他還補(bǔ)充道，該大學(xué)實(shí)驗(yàn)室違反的原則是，在沒(méi)有完全加載額外軟件的客戶端下與Knox一起使用，并讓大家放心，Knox的核心體系結(jié)構(gòu)不會(huì)被泄露或被滲入這類惡意軟件。

據(jù)一個(gè)熟悉開(kāi)發(fā)三星項(xiàng)目的人說(shuō)，幾個(gè)安全漏洞在開(kāi)發(fā)并推出Knox時(shí)已經(jīng)出現(xiàn)了，并被認(rèn)為是軟件開(kāi)發(fā)過(guò)程中正常的部分。三星公司說(shuō)正在努力解決Knox的問(wèn)題，并在月初，已發(fā)布了修補(bǔ)程序，用來(lái)解決影響在Note3上運(yùn)行的Knox漏洞。在一份聲明中，三星公司說(shuō)Note3的漏洞威脅到運(yùn)用Knox的設(shè)備的完整性了，但是已得到了解決，并稱安全修補(bǔ)程序正被推廣到所有受影響的設(shè)備中。

美國(guó)國(guó)防部的Damien Pickart說(shuō)政府不會(huì)評(píng)論可能存在的安全漏洞，且五角大樓使用的設(shè)備都是已被證明是安全的，況且三星Knox安全系統(tǒng)還未被我們使用，但是與國(guó)家安全機(jī)構(gòu)一起工作的國(guó)防信息系統(tǒng)局，購(gòu)買了500臺(tái)S4用來(lái)測(cè)試一個(gè)部分的試點(diǎn)項(xiàng)目，該項(xiàng)目尚未部署且仍在測(cè)試中。更具體的說(shuō)，官員們已意識(shí)到Knox平臺(tái)上有安全漏洞了，三星說(shuō)正與國(guó)防信息系統(tǒng)局協(xié)商解決這些問(wèn)題。官員們說(shuō)這類安全漏洞是正常的，他們希望在安全的網(wǎng)絡(luò)上測(cè)試的設(shè)備能繼續(xù)被發(fā)現(xiàn)問(wèn)題并解決。如果三星手機(jī)被批準(zhǔn)使用五角大樓的網(wǎng)絡(luò)，官員們也會(huì)確保手機(jī)的通信的安全。

佐治亞理工學(xué)院的計(jì)算機(jī)教授及移動(dòng)安全專家Patrick Traynor說(shuō)，該漏洞似乎是合法的，但他表示，很難確定這次的漏洞是否可以得到輕松的解決，并說(shuō)Knox有漏洞一點(diǎn)也不驚訝，就像其他所有的軟件一樣都會(huì)有意想不到的弱點(diǎn)。但是這個(gè)問(wèn)題似乎很嚴(yán)重了且必須馬上修補(bǔ)。值得一提的是， Patrick Traynor先生既沒(méi)有用Knox也不是以色列的研究員。對(duì)于像Patrick Trayno先生這樣的網(wǎng)絡(luò)專家而言，手機(jī)設(shè)備出現(xiàn)了問(wèn)題是很重要的，因?yàn)樗麄冋J(rèn)為最重要的操作和數(shù)據(jù)都會(huì)很快地保留在手機(jī)上。

在這事件中，Ben-Gurion大學(xué)的研究員是正確的，他們說(shuō)的這個(gè)安全漏洞會(huì)被分類為“category one”漏洞。國(guó)防信息系統(tǒng)局負(fù)責(zé)外地安全業(yè)務(wù)的機(jī)構(gòu)在5月3號(hào)發(fā)布了討論三星Knox的文檔，稱這是最嚴(yán)重的一種漏洞，這個(gè)機(jī)構(gòu)管理五角大樓的設(shè)備。除五角大樓外，Galaxy S4是世界上最受歡迎的智能手機(jī)之一。三星公司會(huì)不定期的公布Galaxy S4的銷售量，并說(shuō)它在5月份商業(yè)首次亮相的一個(gè)月內(nèi)就售出了超過(guò)1000萬(wàn)臺(tái)。

以色列實(shí)驗(yàn)室的Mimran先生說(shuō)，他們所說(shuō)的致命性，是利用設(shè)備的安全，甚至是相對(duì)簡(jiǎn)單的應(yīng)用，例如像面向兒童的手機(jī)游戲的威脅。即使是在沒(méi)有安裝Knox的設(shè)備上使用這樣的應(yīng)用，惡意軟件也能夠被激活來(lái)記錄所有的通信數(shù)據(jù)。對(duì)我們來(lái)說(shuō)，Knox是最先進(jìn)的安全移動(dòng)軟件了，發(fā)現(xiàn)這樣一個(gè)大漏洞的存在我很驚訝，Mimran先生說(shuō)他很樂(lè)意和三星公司一起解決這個(gè)問(wèn)題。

› 報(bào)到 / 閑聊 / 交易 / 自拍 › 閑聊茶樓

三星手機(jī)可能存在安全漏洞

三星手機(jī)可能存在安全漏洞