三星內置SwiftKey漏洞很嚴重？還有比這更嚴重的事情

【編者按】三星內置SwiftKey的漏洞被視作一起非常嚴重的安全事件（雷鋒網新聞：三星手機鍵盤爆嚴重漏洞，想卸你都卸不掉！），而相對漏洞本身，雷鋒網更關注的是產生漏洞的背后：三星與“軟件供應商”、“定制運營商”三者之間如何協調，為何一個早早就被發現的漏洞，卻讓用戶長期處于裸奔無防護的狀態？

日前，三星手機內置的SwiftKey軟鍵盤被爆安全漏洞三星手機用戶在接入不安全的網絡時，有可能被植入惡意代碼，并以管理員權限刪除或修改系統重要文件。

問題描述

根據目前掌握的信息顯示，三星手機內置的SwiftKey軟鍵盤的更新邏輯存在安全問題。

用戶在接入不安全的網絡時，例如咖啡館、酒店等公共Wi-Fi，或者手機與基站的通訊被劫持，攻擊者可以通過偽造更新服務器，向用戶推送惡意代碼，而本地的更新程序既不會檢查更新包的數字簽名，也不會檢查更新包即將覆蓋的文件是不是重要的或者敏感的，更由于更新程序擁有手機的root權限（管理員權限），因此攻擊者可以覆蓋用戶手機的任意文件。

更嚴重的問題在于，這個觸摸鍵盤是系統內置的，既沒有辦法卸載，也不能通過禁用的方式來阻止其自動更新。

換句話說，如果用戶接入不安全網絡，此時一旦遭受攻擊，那么基本就處于無能為力的狀態了。目前已經確認會受影響的手機型號包括：Galaxy S4、S5、S6和S4 Mini。

除了會遭受攻擊，本次漏洞還有更深層次問題

我們看到，本漏洞其實和微軟當年的中文輸入法漏洞的產生原因比較類似，都是操作系統廠商對第三方軟件（輸入法）的安全控制邏輯出了問題，鑒于SwiftKey輸入法的其他手機版本并不存在類似漏洞，我們還是更傾向于認為，三星自己的責任更大：

首先，輸入法更新程序與服務器之間的連接應該進行相互的認證，確保不會被劫持。

其次，輸入法更新包被下載到本地后，應該驗證其數字簽名，確保下載的更新包是原廠商制作的，沒有被修改替換。

然后，進行更新包升級時，也應該仔細檢查更新文件訪問的目錄，避開敏感和重要的文件，防止更新包修改操作系統或其他應用軟件。

同時，三星應該更加仔細的檢查第三方提供的內置應用，確保其沒有嚴重的安全問題。

這個過程，簡單來說，就是以下圖片展示的流程：

本漏洞實際上是在幾個月之前就秘密提交了三星，直到最近才公布出來，但三星未能及時修復該漏洞，三星說他們早就提供了修復，但部分運營商不愿意推送該修復，具體內情我們不得而知，推測其相關過程很可能是這樣的：

由于修補該漏洞涉及到“軟件供應商”、“三星”和“定制運營商”三個部分，協調起來相對復雜，結果卻是三星的用戶長期處于裸奔無防護的狀態。

三星與軟件供應商：一方面，三星作為手機生產廠家，擁有三星手機相關操作系統（也就是rom）的所有權；而另一方面，三星手機預裝的應用程序，所有權則歸軟件供應商所有，比如本次出問題的觸摸屏鍵盤。

三星與運營商：當三星與運營商合作推出定制機（比如三星移動版、聯通版和電信版）的時候，三星需要根據具體運營商的要求來定制手機操作系統，并且很可能會將該定制操作系統的運營權限（比如升級、修復漏洞）等等交給具體的運營商。

于是本次漏洞出來后，三星首先要協調軟件供應商來修復相關的漏洞和配置，三星自己的手機操作系統也需要重新打包或者出一個新的熱補丁，然后，運營商才會對該升級或者補丁進行推送。這個過程相對漫長，也是為什么迄今仍有大量用戶尚未修復的最可能原因。

信息安全管理標準中，將“第三方管理”單獨列為一個部分，第三方不僅包括了產品、服務提供商，也包括了其他的合作伙伴，第三方管理不僅復雜，而且很容易被忽視。

在本次事件中，虛擬鍵盤的軟件供應商和定制操作系統的運營商，都是三星的第三方，如何協調好這些合作伙伴，為用戶提供最大程度的安全，對任何企業都是一個巨大的挑戰。

普通用戶如何防范

大部分用戶目前尚沒有可用的官方補丁，而且無法完全禁止該內置輸入法。一般情況下，root 后的防火墻也能防護，可以把輸入法的聯網權限給禁掉，但是三星自帶了硬件安全模塊，手機很難root，所以給普通用戶這個建議的意義不大。

因此普通用戶盡可能不要連接到不安全的網絡，或者暫時停止使用三星手機。在必須連接到不安全的網絡時，請使用可信的VPN連接。

寫在后面

事實上，此次事件很可能只是冰山一角，不排除三星的其他內置應用軟件也有類似的問題，而別的的手機廠商也未必能幸免，隨著手機在人們生活中的重要性越來越高，智能手機被攻擊的可能性也越來越大，未來必將成為嚴重的安全威脅。

從本次事件，我又進一步聯想到幾個月以前，知乎和微博上有人提出的“黑客能不能繞過HTTPS加密，竊取或篡改用戶的隱私數據”的問題，某些大V斬釘截鐵的認為不可能，然而殘酷的現實再一次揭開了真相——

在接入不安全網絡時，連手機的root權限都無法保障，何況隱私數據？

【注：西雅圖0xid工作組、啟明星辰積極防御實驗室、安謀網對本文的撰寫給予了大量的技術支持。】

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。