昨日国外安全研究人员披露，三星智能手机预装的输入法SwiftKey存在漏洞，可被恶意Wifi热点利用实施中间人攻击，安装恶意软件并远程控制手机。

漏洞发现者瑞恩·威尔顿表示，这是一个软件设计漏洞，由于用户无法简单的卸载SwiftKey，想要杜绝此针对此漏洞的攻击，只有三种办法：1. 不连接不受信任的wifi；2. 使用VPN上网；3. 换手机。

预装在三星Galaxy S6/S5/S4上的输入法是自动更新机制，它使用未加密的HTTP连接从网上下载新的zip压缩包文件。由于三星的手机系统不会去校验这个更新包的真实性，因此可利用中间人攻击拦截下载，并用恶意文件替换更新包。

更新过程是系统权限级别，对手机上的文件系统具有完全的读写权限。因此，攻击者可以用恶意文件覆盖或替换手机上的任意文件，或者干脆破坏手机系统。

更新包下载地址：

http://skslm.swiftkey.net/samsung/downloads/v1.3-USA/az_AZ.zip
如果它包含一个具有完全文件名的文件……

../../../../../../../../data/payload

……当更新机制打开压缩包后，它会在/data目录建立一个系统级文件：

$ su -c “ls -l /data/payload”
-rw——- system system 5 2014-08-22 16:07 payload

SwiftKey无法简单的卸载，即使被禁止或用其他的输入法代替，它还是会在后台继续以完全的系统权限运行更新。

安全人员已经公布了可以远程控制手机的POC（概念验证）代码，目前该漏洞尚无补丁。

https://github.com/nowsecure/samsung-ime-rce-poc/

OEM厂商和运营商在设备上预装第三方应用是司空见惯的事，相应带来的安全隐患也一直存在。