三星官方證實,發生手機用戶個人資料洩露問題
騰訊科技承曦/黃詠琳編譯
2020-02-26 17:30

(圖片取自pixabay)

三星電子是全世界最大的智慧型手機廠商,其Android系統一直以來相對安全穩定,但是在上週,許多三星電子用戶在手機上看到了一個相當怪異的訊息通知,內容只有一個數字「1」。三星電子的軟體或者系統更新似乎出現了問題。

據國外媒體報導,三星電子官方已經證實,在上週「找到我手機」功能莫名其妙的通知後,發生了個人資料洩露問題,一些「少數」用戶確實可以「偷窺」他人的個人隱私資料。

交叉洩露

據國外媒體報導,多位三星電子智慧型手機用戶對科技媒體報告稱,在上週四智慧手機上收到了神秘推送通知之後,他們發現手機系統向他們展示了陌生人的個人資料。

這個現象導致許多三星電子用戶誤以為三星的後台系統已經被駭客入侵,他們趕緊登錄其網站更改密碼。現在,該公司承認確實發生了數據資料洩露問題。

一位三星電子女發言人告訴科技媒體稱:「一個技術錯誤,導致少數用戶能夠窺視其他陌生用戶的詳細資料。一旦我們意識到這一事件,我們就暫停了用戶登錄我們網站上商店的能力,直到問題得到解決。」

這位發言人補充道:「我們將與受此問題影響的人聯繫,了解更多細節。」

三星電子官方並沒有公佈洩露的隱私訊息都有哪些內容。

另外,三星電子官方所稱的「少數」用戶到底有多少,這次數據資料洩露波及到了全世界哪些國家地區,目前尚不得而知。

神秘推送

上週,三星電子智慧手機用戶在收到奇怪的通知後被「嚇呆了」。全世界的Galaxy手機用戶都收到了通知,上面只寫著一個「1」。

該問題似乎是由一個軟體錯誤或三星電子系統內的一個測試引起的。但是這種不尋常的措辭和發送它的應用軟體讓許多人感到恐慌,他們擔心他們的手機被駭客入侵了。

「其他人也收到了『找到我手機』軟體的推送通知了嗎?差點讓我心臟病發作了嗎。」一位用戶在推特上寫道。

許多用戶特別擔心,因為這個神秘的通知來自應用軟體「找到我手機」。此軟體可以用來找出用戶的手機在世界上的什麼地方,也可以遠端刪除手機上的所有數據資料。這個故障讓人們擔心他們的位置資料可能被駭客盜取,他們個人的文件可能不安全,或者兩者兼而有之。

這個神秘的通知訊息實際上似乎與應用軟體中的任何內容都沒有關係:點擊它只會使訊息消失,甚至不會打開「找到我手機」軟體介面。

對一些人來說,這似乎讓這條訊息變得更加詭異,因為沒有跡象表明這條訊息為什麼會出現,或者用戶打開它會觸發什麼。

一位受影響的用戶寫道:「我收到了一個奇怪的『找到我手機』通知,我傻呼呼地點擊了它,什麼也沒發生,但是我現在很害怕。」

一些用戶表示,他們向三星電子客戶服務部門溝通了這個問題,最初三星電子客服助理表示,該通知似乎是軟體測試過程的一部分,用戶可以忽略。不過後來,三星電子官方的解釋發生了變化。

許多用戶表示,在看到這個通知後,他們已經不再使用「找到我手機」軟體。

Google警告

一直以來,三星電子是全世界最大的智慧手機廠商,也是最大的Google Android系統用戶,和其他小規模Android設備廠商相比,三星電子的系統穩定性比較高,三星電子也有專門的Android網路安全解決方案Knox平台來保證訊息安全,用戶在手機開機時就能夠看到Knox保障安全的「安民告示」。鑑於在全世界數以億計的智慧型手機用戶,三星在網路安全上投入了大量的人力物力。

和其他的Android廠商類似,三星電子使用Android系統的開源代碼,然後根據自己的需求和硬體配置特色,對系統進行個性化訂製修改,用戶安裝的並不是Google官方版本的Android。

三星電子和Google一直以來是緊密且友好的合作夥伴,但是不久前,Google公司很罕見地對三星電子警告了一個Android系統的安全性問題,Google認為,三星電子不應該對Android系統的Linux核心進行不必要的修改,這會損害系統安全性。

在一篇非常詳細的文章中,Google的相關工作人員詹恩·霍恩,解釋了對三星電子GalaxyA50手機中的Android核心的擔憂。每個Androi設備都會對Androi的Linux核心進行修改,以便正常工作,因為特定於設備的修改非常重要,在很多情況下甚至是必要的。

然而,三星電子的一些修改顯然正在製造更多的安全漏洞。

霍恩說,三星電子的改變是通過添加下游制定驅動程序,來創建對核心的直接硬體訪問。然而,這些變化並沒有被上游的核心開發人員所審查。

換句話說,三星電子正試圖自己解決問題,而不是使用更多官方資源。因此,三星電子甚至允許在Android設備上運行「任意代碼」。

這方面的一個例子是GalaxyA50上的一個漏洞,它影響了三星電子的PROCA(過程認證器)安全子系統。Google在去年11月首次向三星電子報告了這個問題,三星電子本月發布了一個安全修補程式。

在這篇文章中,Google表示已經努力「鎖定」哪些進程可以訪問設備驅動程序,以防止安全漏洞出現。顯然,針對特定手機的核心修改是漏洞的一個常見來源,然而,當三星電子等公司對核心進行修改時,它們推翻了Google的安全設計。

本文為界面新聞授權刊登,原文標題為「推送離奇通知後,三星證實發生手機用戶隱私交叉洩露