通過(guò)三星的漏洞懸賞計(jì)劃，一名安全研究人員向三星報(bào)告了多個(gè)安全漏洞，而這只是大型漏洞發(fā)現(xiàn)中的一小部分。目前三星正努力修復(fù)影響其移動(dòng)設(shè)備的多個(gè)漏洞，可能已經(jīng)被黑客用于監(jiān)聽(tīng)設(shè)備或者完全控制系統(tǒng)。

自今年年初以來(lái)，Oversecured 公司(專門從事移動(dòng)應(yīng)用安全)創(chuàng)始人 Sergey Toshin 發(fā)現(xiàn)了十多個(gè)影響三星設(shè)備的漏洞。其中 3 個(gè)對(duì)用戶的影響最為嚴(yán)重，但目前相關(guān)的細(xì)節(jié)還不是很多。

Toshin 向 BleepingComputer 透露，在這 3 個(gè)漏洞中最不嚴(yán)重的漏洞可以幫助攻擊者竊取短信。而另外 2 個(gè)漏洞則更嚴(yán)重，因?yàn)樗鼈兊碾[蔽性更高。在使用過(guò)程中不需要和用戶進(jìn)行任何交互，攻擊者可以利用它來(lái)讀取和/或以較高的權(quán)限寫入任意文件。

目前還不清楚這些修復(fù)措施何時(shí)會(huì)被推送給用戶，因?yàn)檫@個(gè)過(guò)程通常需要兩個(gè)月左右，因?yàn)橐獙?duì)補(bǔ)丁進(jìn)行各種測(cè)試，以確保它不會(huì)造成其他問(wèn)題。Toshin 負(fù)責(zé)任地報(bào)告了所有三個(gè)安全漏洞，目前正在等待收到賞金。

自去年以來(lái)，Toshin 就通過(guò)發(fā)掘報(bào)告 14 個(gè)漏洞從三星那賺取了 30000 美元的賞金。對(duì)于其中7個(gè)已經(jīng)打過(guò)補(bǔ)丁的漏洞，Toshin在今天的一篇博文中提供了技術(shù)細(xì)節(jié)和概念驗(yàn)證的利用說(shuō)明，這些漏洞帶來(lái)了20,690美元的賞金。