控制域名忘記續費,三星數百萬台手機陷入「任人宰割」境地
由於忘記給一個已廢棄應用的控制域名續費,三星數百萬台舊款智能手機陷入安全風險之中,容易遭受駭客的攻擊,甚至可能遠程安裝惡意軟體。
在2014年或之前時候,三星曾在旗下Android智能手機里內置一款名為「S Suggest」的應用,可以根據目前安裝應用、搜索和其它因素向用戶推薦新應用。這個推薦功能需要聯網才能工作,「S Suggest」把數據傳至ssuggest.com,然後由ssuggest.com返回推薦結果。
三星在2014年砍掉了「S Suggest」項目,應用的控制域名ssuggest.com也不再更新。直到最近,三星忘記給域名續費,讓一位安全研究員重新註冊,接管了域名的控制權。
Anubis Labs的首席技術官Jo?o Gouveia表示,他在星期一接管了域名。他說三星正在把數百萬台智能手機的遠控域名拱手讓人,域名失效後,任何人都可以重新註冊,向這數百萬台手機推送惡意應用。
報道出來後,三星對Motherboard更正,表示不認同研究員的說法。官方稱雖然域名被接管,但域名「無法讓攻擊者安裝惡意軟體,也不允許攻擊者控制用戶的手機」。
註冊域名後,短短24小時內,Gouveia看到有大約210萬台設備向ssuggest.com發送了6.2億個檢查或連接請求。「S Suggest」有許多許可權,包括遠程重啟手機、安裝應用或包。
獨立Android安全研究員Ben Actis說,如果不是Gouveia,而是一名駭客註冊了ssuggest.com,那麼對方可能直接就向數百萬台設備去推送惡意後門和木馬。三星的回應簡直fucked up。
好在域名是被Gouveia註冊了,使用「S Suggest」的用戶暫時不用擔心。Gouveia稱願意把域名給三星,「希望他們不會再丟掉了」。
三星尚未發布回應,目前還不清楚他們要怎麼解決這個問題。比如聯繫Gouveia拿到域名,更新系統移除服務等。
而類似「為什麼三星內部的項目收尾可以如此隨意,以至於讓手機高許可權服務停止後仍可能被駭客利用」的疑惑,恐怕永遠不會得到答案。
前不久還發生過另一個極度尷尬的事,三星自研的Tizen系統爆出四十個漏洞,被研究員吐槽是見過最糟糕的代碼。
三星安全的日常是不是已經變成天天聽同行吐槽了?
點擊展開全文
※美國計算機安全應急響應組:需警惕朝鮮黑客組織「隱藏眼鏡蛇」
※打劫也得講藝術,如何通過登錄社交賬號榨乾你的錢包?
※Shadow Brokers自曝漏洞細節並論證Windows 10安全性,結果……
※AppDomainManager後門的實現思路
TAG:嘶吼RoarTalk |
※票房大賣的捉妖記續集來襲,五月天加盟歌曲或許成爆款?
※得分火力最猛的雙人組!最後16秒各進一記續命3分
※《西遊記續集》驚現「周總理」,因為空心的金箍棒和訂書機訂的豬耳朵被網友吐槽謾罵
※盜墓筆記續集|這回,胖子失蹤了……
※更豐富的空瓶記續集
※盜墓筆記續集|這,將是續集的終極版本
※全球忘記續費4位童星,日本小千代,英國哈利,唯有圖5蔡徐坤續費了
※謎一般的結局,必然有探索秘密的續集看盜墓筆記續集
※他憑什麼取代李連杰拍倚天屠龍記續集,就憑7.5億投資3天下映夠嗎
※新西遊記續集之悟空脫身除五行,取經拜師女唐僧
※行走系列南行散記續(一)高速那些事兒
※培德花園朴門設計工作坊筆記續集
※沙海劇情介紹是盜墓筆記續集嗎?沙海更新時間播放地址
※新西遊記續之悟空噩夢花果山,行者遊學人間界
※致敬還是星遊記續作,國漫如何打破這座巨兵長城?
※楊潔導演最遺憾的一集,但劇本一直不被通過,西遊記續集也不讓拍
※《西遊記續集》這些穿幫鏡頭,播了18年我才發現,但它依舊是經典
※西遊記續集中孔雀公主很美?別被騙了,孔雀雖是佛母卻是個直男
※在《西遊記續集》驚艷觀眾的金巧巧,43歲的她仍被富豪老公寵!
※新西遊記續之悟空紅塵初戀真善美,大聖三界初心不改美猴王