三星“系统更新”别乱点 当心木马来偷袭

三星手机用户特别注意了，如果手机莫名其妙弹出一个类似“系统更新”的提示，千万不要轻易点击确认，因为这有可能是木马利用三星手机的漏洞进行攻击。

这个漏洞名为三星“KNOX远程代码执行”漏洞，影响Galaxy S5、S4、S4 mini、Note 4、Note3以及Ace 4等支持KNOX的三星手机。其实该漏洞早在2014年11月已经曝光，三星也发布了安全更新，但由于需要用户手动修复漏洞，目前大量三星手机仍受到漏洞威胁。

据“360捉虫猎手”研究团队验证，黑客可以利用短信、微信等发送恶意网址攻击三星手机用户，一旦点击链接，手机会根据黑客设定的时间弹出类似“系统更新”的提示窗，该弹窗还可以反复出现，误导用户确认更新。如果用户选择确认，手机就会自动静默安装木马等恶意应用，对话费和手机隐私甚至网银安全造成风险。

更严重的问题在于，黑客攻击者还可以在一些手机网站挂马，用“撒网捞鱼”的方式攻击来访的手机用户。由于国内大量网站存在漏洞，黑客入侵植入恶意代码的门槛并不高，这种大面积攻击在PC互联网时代一度泛滥，随着手机漏洞与日俱增，手机用户也需要加强对网站挂马的安全防范。

据360安全专家介绍，三星手机用户可以通过访问网址smdm://patch/修复“KNOX远程代码执行”漏洞，此漏洞修复界面与手机被攻击时的界面一样。如果用户确认是自己主动访问漏洞修复网址时弹出的提示，则可以放心确认，修复后就不会受到此漏洞危害。

附：三星KNOX漏洞原理

此漏洞是三星手机系统应用UniversalMDMClient不安全的更新机制实现导致的，该应用与samsung KNOX安全解决方案相关。这个系统应用里使用了自定义的scheme：smdm，通过这个scheme可以触发应用更新。但是三星却没有做自升级包名校验机制等，导致可以在更新过程安装任意应用，修复此漏洞后则只会更新安装三星官方签名的应用。