7月26日,网络安全团队思科Talos发布了一份漏洞分析报告称,他们在三星SmartThings Hub智能家居设备中发现了20个新漏洞,为网络攻击者提供多种攻击受害者家庭物联网(IOT)的能力。
据了解,SmartThings的主要用途就是连接各个不同厂商的产品,让用户监控、控制和自动操作家庭中的各种连接设备,比如智能插头、LED灯泡、监控摄像等。而这款类似于“大脑”的核心产品,却被曝出存在被入侵的可能性。
报告指出,攻击者可以利用这些漏洞获得访问用户敏感信息的权限,进而控制家中其他设备,执行未经授权的指令。比如,通过摄像头远程监视家中情况,禁用报警系统等。
不过,攻击者想利用漏洞发起攻击并不容易,他们需要同时结合多个漏洞才能完成入侵。目前已知的攻击链有三种。
研究人员同时表示,思科Talos已经和三星紧急推出了最新的安全补丁修复漏洞。
据国外媒体报道,一名三星发言人表示,目前已经部署了安全补丁来修复这些漏洞。“我们意识到了SmartThings Hub V2的安全漏洞,并发布了一个自动更新补丁来解决这个问题。”市场上所有在售的SmartThings Hub V2设备都是最新更新的。
此前,三星SmartThings平台就曾被曝出存在多个设计缺陷。比如,利用软件漏洞可以解锁车门,通过虚***的信息设置打开智能锁等。
密歇根大学计算机科学与工程系教授Atul Prakash曾表示:“SmartThings这样需要通过App访问其它连接对象的智能家居平台,其实在出现漏洞的时候非常危险。打个比方,如果你能够让别人控制办公室的灯,那么就同样有机会让别人获得整个办公室的权限,甚至包括保险柜里的内容。”
三星又出事情了!近日三星手机被爆出了一起非常严重的指纹安全漏洞。引起了全球手机用户们的关注。包括中国银行、支付宝和微信在内的多家国内金融机构都宣布暂停了三星手机的指纹支付功能。
事情的由来是这样的——一对英国夫妇购买了三星s10手机。并在第一时间用了橡胶清水壳来保护手机(正反两面的清水壳)。随后问题就来了,夫妻俩发现除了录入的夫妻俩的指纹能解锁这部手机以外。其他任何人的手机都能够解锁手机,包括网银在内的软件都可以随意登陆。指纹解锁“形同虚设”。
这件事情迅速在社交媒体上发酵,众多科技媒体都纷纷仿效实验并且成功解锁。在清水壳的帮助下真的可以不用录入指纹的手指就能解锁手机。这回问题就闹大了。
笔者看了网上的破解方式,大致分为以下几个步骤:首先要之前录入的所有指纹删除。在手机屏幕上垫上清水壳并录入两个以上的指纹。清水壳覆盖在屏幕上的情况下,用其他未录入的手指解锁。就有很高的概率能够解锁成功。
目前在国外的推特、YouTube以及国内的知乎和B站上均有大量此类的成功解锁的***。有兴趣的小伙伴可以自己搜索下查看。
还有三星手机用户表示,在清水壳的帮助下用指关节和肘关节也能够解锁手机。这下问题就闹大了……三星方面出面解释称这确实是个漏洞,bug将在下一个版本中通过补丁方式修复来解决。并且希望用户停止使用「非官方配件」。目前此***还在发酵中,其中真正的原因还需要耐心等待水落石出。
不过随着系统的一次又一次的更新,这套指纹系统的在准确率上是不断进步的。到Note10发布时很少有人再去吐槽指纹识别率的问题了。个人推测在没有改变硬件的情况下,三星调高了指纹识别系统的容错率。容错率高指纹识别的通过率就高了,但这也意味着安全性的下降。覆盖清水壳就能用任意指纹解锁的bug很有可能就是这个原因导致的。等到三星推送最新固件修复bug后。如果指纹识别率降低很多,基本上就可以证明我这个猜测成立。
智能手机如今承载了太多的用户隐私,其指纹识别的安全性应当放在最高级别的。而如果锤实了三星为了保证用户体验而让用户在有风险的情况下使用手机,应该说是一种极不负责的行为。
或许你会觉得三星今年“流年不利”:上半年折叠屏手机Galaxy Fold上市遭遇质量问题。这回又遭遇“指纹门”***。但在我个人看来,这于三星Note7的电池门***道理一样。三星一直在做行业中吃螃蟹的那一位,第一个尝到蟹肉美味的人也难免会被蟹钳夹到。
三星手机持续了十几年的全球销量冠军,与它工业设计方面超前和激进是分不开的。而超前和激进的也意味会犯错,我们现在看到的三星的各种“门”都是因为创新也导致的。也可以说这些都是“创新的代价”。
与三星形成鲜明对比的是苹果,这几年iPhone上的硬件更新都是基本都是落后于安卓阵营的。这样的做法最大的好处就是成熟的硬件不容易犯致命的错误。但这也让苹果在过去几年里渐渐失去了创新能力,用户开始觉得iPhone 缺乏新意。
所以我个人并不觉得三星在电池、屏幕和指纹上犯的这些错误很过分。如此拥有如此大体量的三星犯错要负担的成本很高,但它却能一直保持着勇于创新的精神。这点值得被体谅和赞誉的。不喜欢三星的朋友也别跟我急,你现在手上的iPhone 或者国产手机就很可能用了三星的屏幕或者闪存。它被设计得有如此的外观和体验,其中也有三星电子的一份功劳。
但”Note7电池门”后拒不承认自己的错误,以及在电池缺陷昭然天下之后对大陆市场区别对待才是三星最大的错误。也是如今导致了三星手机市场占有率1%重要原因之一。 消费者可以理解一个因为创新而犯错的三星。但犯错了以后就需要有一个诚恳的态度。毕竟无论初衷是什么,你的设计失误为消费者带来了困扰。
三星和 Google 最近似乎处得不太好,Google 内部的漏洞寻猎小组 Project Zero 征调 10 名安全专家,用时 1 周,在三星 Galaxy S6 Edge 上找到 11 个严重的安全漏洞,并在 Project Zero 官方博客上公布了出来。
首当其冲的是 S6 Edge 的邮件应用,黑客可获取并转发邮件给自己。另一个是黑客可以在解压文件过程中更改系统代码。其它漏洞还包括跳过内核权限、获取相册数据等。
通常,Project Zero 会给手机厂商 90 天时间修复漏洞,否则将公布出来。三星方面对于此次***较为重视,已经修复了这些漏洞中的 8 个,余下 3 个将在下一次的安全补丁中解决。三星最近曾宣布每月放出一次安全更新。
三星手机提示软件有风险可能是因为以下原因:
1. 第三方应用来源:如果用户下载并安装了来自非官方渠道的应用程序,这些应用可能包含恶意代码或病毒,从而导致手机出现安全风险。为了保证手机的安全,建议用户只从可信的应用商店下载应用程序。
2. 操作系统更新:如果用户没有及时更新手机的操作系统,可能会存在一些漏洞和安全问题。操作系统的更新通常包含了修复已知漏洞和加强安全性的措施,因此及时更新操作系统是保持手机安全的重要步骤。
3. 未知来源的链接和附件:通过点击未知来源的链接或打开未知来源的附件,手机可能会受到恶意软件的感染。因此,在浏览网页或接收邮件时,要谨慎点击链接和打开附件,以避免可能的安全风险。
此外,值得拓展的是,为了保证手机安全,用户还可以***取以下措施:
- 安装安全软件:安装一款可靠的安全软件可以帮助用户检测和清除恶意软件,提供实时的安全保护。
- 设置强密码:为手机设置一个复杂且独特的密码,可以提高手机的安全性,防止未经授权的访问。
- 定期备份数据:定期备份手机中的重要数据可以防止数据丢失或被恶意软件加密勒索等问题。
综上所述,三星手机提示软件有风险可能是由于第三方应用来源、操作系统更新不及时,以及点击未知来源的链接和附件等原因。为了保证手机的安全,用户可以***取一系列措施来加强手机的安全性。
