移動安全公司NowSecure的安全人員瑞安·韋爾頓（Ryan Welton）周二在倫敦舉辦的黑帽子安全峰會(Black Hat)上公布了存在于三星鍵盤的一個很嚴重的漏洞，黑客可以通過這個漏洞窺探用戶信息以及控制手機。

韋爾頓發(fā)現(xiàn)三星手機上默認安裝的SwiftKey鍵盤應用會掃描語言更新包，包括未經(jīng)加密的文件，這就給了韋爾頓一個建立欺騙代理服務器并把惡意代碼傳入手機的機會。在手機中有了后門之后，他就可以通過很多手段擴大自己的權限并最終在用戶毫不知情的情況下控制手機。

據(jù)悉，早在去年11月NowSecure便已聯(lián)系了三星對其發(fā)出警告。當時三星在12月16日請求給予更多的時間。在12月31日，三星要求給予一年時間修復漏洞，但NowSecure覺得一年時間太長，容易被黑客發(fā)現(xiàn)。最后，兩家公司在3月份達成協(xié)議在三個月后公布此漏洞。在這期間，三星為安卓4.2及以上系統(tǒng)更新了補丁。

上周，韋爾頓從美國無線運營商Verizon和Sprint購買了兩部新的三星Galaxy S6，發(fā)現(xiàn)這兩部手機仍然存在安全漏洞。一名NowSecure發(fā)言人表示，除了Galaxy S6，三星的主要產(chǎn)品線包括S3、S4、S5、Note3、Note4都可能存在同樣的問題。該發(fā)言人同時指出，Google Play和Apple Store上的SwiftKey鍵盤應用并沒有這類安全問題。但由于三星默認安裝的SwiftKey為系統(tǒng)鍵盤不能卸載，即使使用其他鍵盤作為默認鍵盤，這個漏洞同樣可以被利用。

NowSecure表示，截至目前并未發(fā)現(xiàn)三星針對此漏洞作出補丁更新。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。