三星被曝了什么新漏洞?
7月26日,网络安全团队思科Talos发布了一份漏洞分析报告称,他们在三星SmartThings Hub智能家居设备中发现了20个新漏洞,为网络攻击者提供多种攻击受害者家庭物联网(IOT)的能力。 据了解,SmartThings的主要用途就是连接各个不同厂商的产品,让用户监控、控制和自动操作家庭中的各种连接设备,比如智能插头、LED灯泡、监控摄像等。而这款类似于“大脑”的核心产品,却被曝出存在被入侵的可能性。 报告指出,攻击者可以利用这些漏洞获得访问用户敏感信息的权限,进而控制家中其他设备,执行未经授权的指令。比如,通过摄像头远程监视家中情况,禁用报警系统等。 不过,攻击者想利用漏洞发起攻击并不容易,他们需要同时结合多个漏洞才能完成入侵。目前已知的攻击链有三种。 研究人员同时表示,思科Talos已经和三星紧急推出了最新的安全补丁修复漏洞。 据国外媒体报道,一名三星发言人表示,目前已经部署了安全补丁来修复这些漏洞。“我们意识到了SmartThings Hub V2的安全漏洞,并发布了一个自动更新补丁来解决这个问题。”市场上所有在售的SmartThings Hub V2设备都是最新更新的。 此前,三星SmartThings平台就曾被曝出存在多个设计缺陷。比如,利用软件漏洞可以解锁车门,通过虚假的信息设置打开智能锁等。 密歇根大学计算机科学与工程系教授Atul Prakash曾表示:“SmartThings这样需要通过App访问其它连接对象的智能家居平台,其实在出现漏洞的时候非常危险。打个比方,如果你能够让别人控制办公室的灯,那么就同样有机会让别人获得整个办公室的权限,甚至包括保险柜里的内容。”
三星多款机型现漏洞:涉21个安全问题,影响4000万用户
三星手机再爆利空,被发现一系列漏洞,涉及21个安全问题,受影响用户多达4000万。
10月10日,据福布斯报道,随着三星已经向Galaxy设备用户发出10月份的安全维护版本 (SMR),这也证实了三星的Galaxy S8、S9、S10、S10E、S10 Plus、S10 5G、Note 9、Note 10和Note 10 Plus受到安全漏洞的影响。此次共涉及21个安全问题,其中有1个为严重安全漏洞,3个为高等级漏洞。除此之外,这些漏洞中的4个与Android有关,可能影响数亿手机的使用。而另外17个则与三星的“one”用户界面有关。
福布斯称,有一个Galaxy 9漏洞被评为严重漏洞:SVE-2019-15435。这对Galaxy S9和Note9都有影响。目前尚不清楚该漏洞的确切技术性质。三星Galaxy9智能手机销量约为3000万部,GalaxyNote9设备销量为1000万部,这意味着有4000万用户受到影响。
有关SVE-2019-15435的严重漏洞外界了解不多,三星公布的唯一信息如下:“需要加强IMEI安全机制,以提高对潜在IMEI操作的保护。”有人建议,这涉及一种规避IMEI黑名单的方法,该黑名单可防止被盗设备容易被转售。任何绕过这种保护的东西,都会使涉案设备对罪犯更具吸引力,他们可以通过出售带有“干净”IMEI号码的设备来获得更好的利润。
此外,由谷歌零号项目组(Project Zero)日前也发现的一个名为“CVE-2019-2215”的安全漏洞,预计将影响数亿部Android手机的使用。
这个名为“CVE-2019-2215”的漏洞已被谷歌方面确认。报道称,一家专门出售漏洞的以色列公司NSO与该漏洞的利用有关。攻击者通过物理手段或恶意软件远程访问就可利用该漏洞来获得用户设备的控制权限。
目前,谷歌方面正在通过其十月补丁来解决该漏洞以及其他安全问题。十月份的Pixel更新公告显示, Pixel 1和Pixel 2这两款设备会在10月份的更新中收到CVE-2019-2215的补丁程序,而Pixel 3和Pixel 3a这两款设备并不容易受到该漏洞的影响。此外,在已向所有Galaxy设备用户推送的三星10月例行安全维护版本(SMR)中,也包含了来自谷歌的补丁程序。
尽管更新并不总是完美,但是受影响的手机设备用户来说,厂家的补丁推出后还是要第一时间来更新。推迟安装最新更新,意味着你的智能手机仍然易受攻击。