偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

三星Galaxy手機輸入法曝高危漏洞 攻擊者可監(jiān)控用戶

安全 漏洞
三星Galaxy手機近日曝高危漏洞,黑客可暗中監(jiān)控用戶的攝像頭和麥克風(fēng),讀取輸入和傳出的短信以及安裝惡意應(yīng)用程序,影響全球超過6億三星手機用戶。

三星Galaxy手機近日曝高危漏洞,黑客可暗中監(jiān)控用戶的攝像頭和麥克風(fēng),讀取輸入和傳出的短信以及安裝惡意應(yīng)用程序,影響全球超過6億三星手機用戶。

[[137220]]

漏洞描述

三星Galaxy手機輸入法曝高危漏洞 攻擊者可監(jiān)控用戶

該漏洞存在于三星定制版SwiftKey輸入法的更新機制中,運用于三星Galaxy S6,S5,以及其他幾個Galaxy系列手機中。當下載更新軟件時,三星設(shè)備并不會對該可執(zhí)行文件進行加密處理,這就使得攻擊者有機會修改其上行流量(如位于同一個Wi-Fi網(wǎng)絡(luò)的),用惡意攻擊載荷來替代合法的文件。該漏洞是在周二的倫敦黑帽安全大會上被一名來自nowsecure安全公司的研究員-Ryan威爾頓所證實的。

手機預(yù)裝的三星輸入法,為三星定制版SwiftKey,其會定期查詢授權(quán)服務(wù)器對于鍵盤APP以及其他附加的語言包是否有效可用。攻擊者在中間人的位置可以冒充服務(wù)器并發(fā)送一個包含惡意有效載荷的響應(yīng),使其注入到一個語言包更新程序中。因為三星手機為更新程序提供了特殊的提升權(quán)限,因此惡意有效載荷就能夠有效避開保護系統(tǒng),進入谷歌的Android操作系統(tǒng),。

令人驚訝的是,在鍵盤更新過程中ZIP存檔文件的發(fā)送并不是通過傳輸層安全加密進行保護的,因此極易受到中間人的篡改。系統(tǒng)設(shè)計者要求將這個文件的內(nèi)容與之前發(fā)送到手機上的清單文件進行匹配,但這個要求對于安全并沒有起到有效的意義。根據(jù)這個解決措施,Welton給易受攻擊的手機發(fā)送了冒充的清單文件,其中包含惡意有效載荷的SHA1 hash。他還提供了很多有關(guān)潛在漏洞方面的細節(jié)等等。

Welton稱無論手機配置什么樣的鍵盤,漏洞都是存在的——即使不用三星的輸入法鍵盤,攻擊仍然可能發(fā)生。在攻擊實踐方面,利用這個漏洞對于攻擊者來說需要耐心,因為他們必須等待更新機制啟動時,或是手機開啟,以及間隔時段才可以進行攻擊。

影響范圍

Welton說他已經(jīng)確認該漏洞主要活躍在三星Galaxy S6的Verizon和Sprint網(wǎng)絡(luò),Galaxy S5的T-Mobile,以及Galaxy S4 Mini的AT&T。據(jù)報道Welton已經(jīng)向三星,谷歌,以及美國CERT提出此漏洞,該漏洞被命名為“CVE-2015-2865”。這個漏洞的源頭在SwiftKey提供的軟件開發(fā)工具包中,但它也涉及到三星在其Galaxy系列手機中實現(xiàn)它的方式。

官方聲明

在一份電子聲明中,SwiftKey官方寫道:

“我們已經(jīng)看到關(guān)于使用SwiftKey SDK的三星庫存鍵盤的安全問題報告。我們可以保證,SwiftKey鍵盤APP在谷歌Play store或蘋果APP store都可以使用,并不受此漏洞的影響。我們非常重視這方面的報道,目前正在進一步調(diào)查。”

研究人員稱,三星已向移動網(wǎng)絡(luò)運營商提供了一個補丁,但他無法了解這些主要的運營商是否應(yīng)用了此補丁。正如ARS在之前已經(jīng)報道過,運營商一直未能及時提供安全更新。

責任編輯:藍雨淚 來源: FreeBuf
相關(guān)推薦

2016-01-31 16:49:42

漏洞Galaxy

2025-04-16 11:15:09

2013-06-26 14:32:18

2021-06-15 10:57:55

漏洞網(wǎng)絡(luò)安全網(wǎng)絡(luò)攻擊

2025-06-25 10:20:39

2020-11-13 18:56:39

漏洞rootUbuntu

2021-11-15 15:37:05

零日漏洞MacOS攻擊

2022-01-26 10:15:16

漏洞攻擊

2025-01-22 13:38:41

2014-11-26 09:18:14

2025-02-14 23:13:14

2012-06-13 09:26:46

2025-02-19 10:47:18

2023-08-11 18:18:15

2024-10-23 17:12:33

2021-11-27 16:47:48

Windows 11操作系統(tǒng)微軟

2012-01-18 09:17:54

三星Galaxy

2025-02-12 14:27:59

2024-08-05 10:41:35

2025-03-05 15:10:13

點贊
收藏

51CTO技術(shù)棧公眾號