一位白帽黑客向三星提交了多達17個漏洞，這些漏洞可能被用于間諜活動或提權控制系統，該黑客由此獲得三星近3萬美元的漏洞賞金。目前，三星正在修復這些漏洞。

　　三星手機存在嚴重漏洞

　　自今年年初以來，專注于移動應用程序安全的oversecure公司創始人謝爾蓋·托申（Sergey Toshin）發現了十多個影響三星移動設備的漏洞。

　　其中有三個漏洞，甚至可以對用戶造成高危風險，目前還不清楚細節。但謝爾蓋·托申表示，如果這些漏洞被利用來攻擊用戶，造成最輕微的影響也是短信被竊取。

　　另外兩個漏洞更嚴重，因為它們更隱秘，攻擊者可以繞過用戶讀取或寫入具有更高權限的任意文件。

　　目前還不清楚用戶何時可以更新補丁。根據三星以往的經驗，修復漏洞的過程通常需要兩個月左右，要對補丁進行各種測試，以確保它不會導致其他問題。

　　謝爾蓋·托申前不久上報了三個安全漏洞，目前正在等待收到獎金。

　　17個漏洞被披露

　　自年初以來，謝爾蓋·托申僅在三星就挖掘了14個漏洞，收到了近3萬美元的賞金。其他3個漏洞正在等待修復。

　　謝爾蓋·托申在博客中公開了其中7個已修補漏洞的技術細節和PoC。這7個漏洞幫他獲得了20690美元的獎金。

　　他用自建的Oversecured掃描器在三星手機的預裝應用中發現了這些漏洞。

　　2月，他向三星報告了這些漏洞，并發布了一段視頻，展示了第三方應用程序如何獲得設備管理員權限，該漏洞在獲得升級特權的過程中，還將手機上的所有其他應用都刪除。

　　好消息是，該漏洞被追蹤為CVE-2021-25356，已于今年4月修復。謝爾蓋·托申因報告該漏洞獲得了7000美元。

　　另一個漏洞被追蹤為CVE-2021-25393，會奪取系統用戶的權限對任意文件進行讀寫訪問，三星給與該漏洞的發現者5460美元獎金。

　　今年2月發現的第三個漏洞允許Telephony用戶編寫任意文件，可以訪問通話細節和SMS/MMS信息，獎勵金額是4850美元。

　　今年5月，三星修補了大部分漏洞。這些漏洞會造成用戶聯系人泄露、SD卡及電話號碼泄露、地址和電子郵件等個人信息泄露。

　　據了解，謝爾蓋·托申在他的職業生涯中報告了超過550個漏洞，通過HackerOne平臺和各種漏洞賞金程序獲得了超過100萬美元的漏洞賞金。