【編者按】三星內(nèi)置SwiftKey的漏洞被視作一起非常嚴(yán)重的安全事件（雷鋒網(wǎng)新聞：三星手機(jī)鍵盤(pán)爆嚴(yán)重漏洞，想卸你都卸不掉！），而相對(duì)漏洞本身，雷鋒網(wǎng)更關(guān)注的是產(chǎn)生漏洞的背后：三星與“軟件供應(yīng)商”、“定制運(yùn)營(yíng)商”三者之間如何協(xié)調(diào)，為何一個(gè)早早就被發(fā)現(xiàn)的漏洞，卻讓用戶長(zhǎng)期處于裸奔無(wú)防護(hù)的狀態(tài)？

日前，三星手機(jī)內(nèi)置的SwiftKey軟鍵盤(pán)被爆安全漏洞三星手機(jī)用戶在接入不安全的網(wǎng)絡(luò)時(shí)，有可能被植入惡意代碼，并以管理員權(quán)限刪除或修改系統(tǒng)重要文件。

問(wèn)題描述

根據(jù)目前掌握的信息顯示，三星手機(jī)內(nèi)置的SwiftKey軟鍵盤(pán)的更新邏輯存在安全問(wèn)題。

用戶在接入不安全的網(wǎng)絡(luò)時(shí)，例如咖啡館、酒店等公共Wi-Fi，或者手機(jī)與基站的通訊被劫持，攻擊者可以通過(guò)偽造更新服務(wù)器，向用戶推送惡意代碼，而本地的更新程序既不會(huì)檢查更新包的數(shù)字簽名，也不會(huì)檢查更新包即將覆蓋的文件是不是重要的或者敏感的，更由于更新程序擁有手機(jī)的root權(quán)限（管理員權(quán)限），因此攻擊者可以覆蓋用戶手機(jī)的任意文件。

更嚴(yán)重的問(wèn)題在于，這個(gè)觸摸鍵盤(pán)是系統(tǒng)內(nèi)置的，既沒(méi)有辦法卸載，也不能通過(guò)禁用的方式來(lái)阻止其自動(dòng)更新。

換句話說(shuō)，如果用戶接入不安全網(wǎng)絡(luò)，此時(shí)一旦遭受攻擊，那么基本就處于無(wú)能為力的狀態(tài)了。目前已經(jīng)確認(rèn)會(huì)受影響的手機(jī)型號(hào)包括：Galaxy S4、S5、S6和S4 Mini。

除了會(huì)遭受攻擊，本次漏洞還有更深層次問(wèn)題

我們看到，本漏洞其實(shí)和微軟當(dāng)年的中文輸入法漏洞的產(chǎn)生原因比較類似，都是操作系統(tǒng)廠商對(duì)第三方軟件（輸入法）的安全控制邏輯出了問(wèn)題，鑒于SwiftKey輸入法的其他手機(jī)版本并不存在類似漏洞，我們還是更傾向于認(rèn)為，三星自己的責(zé)任更大：

首先，輸入法更新程序與服務(wù)器之間的連接應(yīng)該進(jìn)行相互的認(rèn)證，確保不會(huì)被劫持。

其次，輸入法更新包被下載到本地后，應(yīng)該驗(yàn)證其數(shù)字簽名，確保下載的更新包是原廠商制作的，沒(méi)有被修改替換。

然后，進(jìn)行更新包升級(jí)時(shí)，也應(yīng)該仔細(xì)檢查更新文件訪問(wèn)的目錄，避開(kāi)敏感和重要的文件，防止更新包修改操作系統(tǒng)或其他應(yīng)用軟件。

同時(shí)，三星應(yīng)該更加仔細(xì)的檢查第三方提供的內(nèi)置應(yīng)用，確保其沒(méi)有嚴(yán)重的安全問(wèn)題。

這個(gè)過(guò)程，簡(jiǎn)單來(lái)說(shuō)，就是以下圖片展示的流程：

本漏洞實(shí)際上是在幾個(gè)月之前就秘密提交了三星，直到最近才公布出來(lái)，但三星未能及時(shí)修復(fù)該漏洞，三星說(shuō)他們?cè)缇吞峁┝诵迯?fù)，但部分運(yùn)營(yíng)商不愿意推送該修復(fù)，具體內(nèi)情我們不得而知，推測(cè)其相關(guān)過(guò)程很可能是這樣的：

由于修補(bǔ)該漏洞涉及到“軟件供應(yīng)商”、“三星”和“定制運(yùn)營(yíng)商”三個(gè)部分，協(xié)調(diào)起來(lái)相對(duì)復(fù)雜，結(jié)果卻是三星的用戶長(zhǎng)期處于裸奔無(wú)防護(hù)的狀態(tài)。

三星與軟件供應(yīng)商：一方面，三星作為手機(jī)生產(chǎn)廠家，擁有三星手機(jī)相關(guān)操作系統(tǒng)（也就是rom）的所有權(quán)；而另一方面，三星手機(jī)預(yù)裝的應(yīng)用程序，所有權(quán)則歸軟件供應(yīng)商所有，比如本次出問(wèn)題的觸摸屏鍵盤(pán)。

三星與運(yùn)營(yíng)商：當(dāng)三星與運(yùn)營(yíng)商合作推出定制機(jī)（比如三星移動(dòng)版、聯(lián)通版和電信版）的時(shí)候，三星需要根據(jù)具體運(yùn)營(yíng)商的要求來(lái)定制手機(jī)操作系統(tǒng)，并且很可能會(huì)將該定制操作系統(tǒng)的運(yùn)營(yíng)權(quán)限（比如升級(jí)、修復(fù)漏洞）等等交給具體的運(yùn)營(yíng)商。

于是本次漏洞出來(lái)后，三星首先要協(xié)調(diào)軟件供應(yīng)商來(lái)修復(fù)相關(guān)的漏洞和配置，三星自己的手機(jī)操作系統(tǒng)也需要重新打包或者出一個(gè)新的熱補(bǔ)丁，然后，運(yùn)營(yíng)商才會(huì)對(duì)該升級(jí)或者補(bǔ)丁進(jìn)行推送。這個(gè)過(guò)程相對(duì)漫長(zhǎng)，也是為什么迄今仍有大量用戶尚未修復(fù)的最可能原因。

信息安全管理標(biāo)準(zhǔn)中，將“第三方管理”單獨(dú)列為一個(gè)部分，第三方不僅包括了產(chǎn)品、服務(wù)提供商，也包括了其他的合作伙伴，第三方管理不僅復(fù)雜，而且很容易被忽視。

在本次事件中，虛擬鍵盤(pán)的軟件供應(yīng)商和定制操作系統(tǒng)的運(yùn)營(yíng)商，都是三星的第三方，如何協(xié)調(diào)好這些合作伙伴，為用戶提供最大程度的安全，對(duì)任何企業(yè)都是一個(gè)巨大的挑戰(zhàn)。

普通用戶如何防范

大部分用戶目前尚沒(méi)有可用的官方補(bǔ)丁，而且無(wú)法完全禁止該內(nèi)置輸入法。一般情況下，root 后的防火墻也能防護(hù)，可以把輸入法的聯(lián)網(wǎng)權(quán)限給禁掉，但是三星自帶了硬件安全模塊，手機(jī)很難root，所以給普通用戶這個(gè)建議的意義不大。

因此普通用戶盡可能不要連接到不安全的網(wǎng)絡(luò)，或者暫時(shí)停止使用三星手機(jī)。在必須連接到不安全的網(wǎng)絡(luò)時(shí)，請(qǐng)使用可信的VPN連接。

寫(xiě)在后面

事實(shí)上，此次事件很可能只是冰山一角，不排除三星的其他內(nèi)置應(yīng)用軟件也有類似的問(wèn)題，而別的的手機(jī)廠商也未必能幸免，隨著手機(jī)在人們生活中的重要性越來(lái)越高，智能手機(jī)被攻擊的可能性也越來(lái)越大，未來(lái)必將成為嚴(yán)重的安全威脅。

從本次事件，我又進(jìn)一步聯(lián)想到幾個(gè)月以前，知乎和微博上有人提出的“黑客能不能繞過(guò)HTTPS加密，竊取或篡改用戶的隱私數(shù)據(jù)”的問(wèn)題，某些大V斬釘截鐵的認(rèn)為不可能，然而殘酷的現(xiàn)實(shí)再一次揭開(kāi)了真相——

在接入不安全網(wǎng)絡(luò)時(shí)，連手機(jī)的root權(quán)限都無(wú)法保障，何況隱私數(shù)據(jù)？

【注：西雅圖0xid工作組、啟明星辰積極防御實(shí)驗(yàn)室、安謀網(wǎng)對(duì)本文的撰寫(xiě)給予了大量的技術(shù)支持?！?/span>

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。