一位白帽黑客向三星提交了多達17個漏洞,，這些漏洞可能被用于間諜活動或提權(quán)控制系統(tǒng),，該黑客由此獲得三星近3萬美元的漏洞賞金,。目前,，三星正在修復這些漏洞,。

　　三星手機存在嚴重漏洞

　　自今年年初以來,，專注于移動應用程序安全的oversecure公司創(chuàng)始人謝爾蓋·托申（Sergey Toshin）發(fā)現(xiàn)了十多個影響三星移動設(shè)備的漏洞,。

　　其中有三個漏洞,，甚至可以對用戶造成高危風險，目前還不清楚細節(jié),。但謝爾蓋·托申表示,，如果這些漏洞被利用來攻擊用戶，造成最輕微的影響也是短信被竊取,。

　　另外兩個漏洞更嚴重,，因為它們更隱秘，攻擊者可以繞過用戶讀取或?qū)懭刖哂懈邫?quán)限的任意文件,。

　　目前還不清楚用戶何時可以更新補丁,。根據(jù)三星以往的經(jīng)驗，修復漏洞的過程通常需要兩個月左右,，要對補丁進行各種測試,，以確保它不會導致其他問題。

　　謝爾蓋·托申前不久上報了三個安全漏洞,，目前正在等待收到獎金,。

　　17個漏洞被披露

　　自年初以來，謝爾蓋·托申僅在三星就挖掘了14個漏洞,，收到了近3萬美元的賞金,。其他3個漏洞正在等待修復。

　　謝爾蓋·托申在博客中公開了其中7個已修補漏洞的技術(shù)細節(jié)和PoC,。這7個漏洞幫他獲得了20690美元的獎金,。

　　他用自建的Oversecured掃描器在三星手機的預裝應用中發(fā)現(xiàn)了這些漏洞。

　　2月,，他向三星報告了這些漏洞,，并發(fā)布了一段視頻，展示了第三方應用程序如何獲得設(shè)備管理員權(quán)限,，該漏洞在獲得升級特權(quán)的過程中,，還將手機上的所有其他應用都刪除。

　　好消息是,，該漏洞被追蹤為CVE-2021-25356,，已于今年4月修復。謝爾蓋·托申因報告該漏洞獲得了7000美元,。

　　另一個漏洞被追蹤為CVE-2021-25393,，會奪取系統(tǒng)用戶的權(quán)限對任意文件進行讀寫訪問,，三星給與該漏洞的發(fā)現(xiàn)者5460美元獎金。

　　今年2月發(fā)現(xiàn)的第三個漏洞允許Telephony用戶編寫任意文件,，可以訪問通話細節(jié)和SMS/MMS信息,，獎勵金額是4850美元。

　　今年5月,，三星修補了大部分漏洞,。這些漏洞會造成用戶聯(lián)系人泄露、SD卡及電話號碼泄露,、地址和電子郵件等個人信息泄露,。

　　據(jù)了解，謝爾蓋·托申在他的職業(yè)生涯中報告了超過550個漏洞,，通過HackerOne平臺和各種漏洞賞金程序獲得了超過100萬美元的漏洞賞金,。