晴時多雲

影響 6 億用戶!三星手機鍵盤程式傳出資安漏洞

2015/06/18 11:16 文/記者陳宜豐

由於 Google 系統的開放性特色,Android 手機的安全性一直都是對手攻擊的目標,而最新的受災戶可能換成上半年發表 S6/S6 Edge 的三星了,根據海外資訊安全機構 NowSecure 的調查,三星手機內搭載的 Swiftkey 鍵盤,在受到攻擊後會將使用者所輸入的資訊以無加密的形式下傳出,如果透過手機傳送銀行帳戶、密碼等資訊,可能會在無防備的狀態下被竊取使用。

三星手機傳出資安漏洞並未修補完全(圖片來源/彭博)三星手機傳出資安漏洞並未修補完全(圖片來源/彭博)

NowSecure 的研究員 Ryan Welton 指出,駭客可能利用自行設置的惡意偽裝伺服器,在同一個無線網路環境下,發送偽裝的 Swiftkey 惡意更新程式給手機,讓手機安全系統無法偵測到此一漏洞的存在,讓消費者在無知覺的狀況下持續送出個人資料給駭客,倘若使用者利用手機進行線上購物等需要敏感個資的行為,就有可能將自己的信用卡卡號等資料送給惡意的使用者。

NowSecure 是在去年 11 月發現此一問題,三星並在三月份的系統更新中推出修補套件,但是 NowSecure 的執行長 Andrew Hoog在今天稍早於倫敦舉辦的黑帽駭客高峰會上,再度用 Samsung Galaxy S6 手機複製此一問題並成功入侵,很顯然的 Samsung 所推出的修正程式並不完全奏效。

 NowSecure Demo 影片

三星對此表示:「三星電子向來非常重視安全疑慮並並致力於提供最新的行動安全方案。而我們留意到近期媒體所報導的問題。Samsung Knox 具有透過無線傳輸更新手機安全性原則的能力,以避免潛在問題造成安全漏洞。此安全性原則也將在近日內更新。除此之外,我們也正與Swiftkey合作解決未來潛在的風險。」

而製作這款第三方輸入法的 Swiftkey 則表示,目前該公司推出的使用者安裝版並無發現此一問題(包括 Android 與 iOS 版),他們正慎重地進行調查中。

不過 NowSecure 也表示,一般消費者其實不用太過擔心,因為此項攻擊程序實在太過複雜,除了攻擊者要跟被攻擊的手機要處在同一無線網路環境下外,另外還得重新導向或是劫持該網域內的網路流量主機(如 DNS ),對於價值不高的一般個資,有心人士應不會花費如此大成本來進行竊取,但還是提醒消費者,盡量不要在手機上進行輸入信用卡卡號、銀行帳戶密碼等敏感個資,以維護自身的資料安全才是上策。

來源: NowSecure

不用抽 不用搶 現在用APP看新聞 保證天天中獎  點我下載APP  按我看活動辦法

看更多!加入3C科技粉絲團
網友回應