索尼相机的固件更新软件有安全风险?
日前综合外媒报道,索尼的相机固件更新进程存在着严重的安全风险,可能会危害你的计算机和数据安全。
摄影和计算机专家Lloyd Chambers早在2017年10月就报道了这个问题。Chambers称,尼康和佳能等公司采用了相对安全的相机内固件更新流程,但索尼使用的却是基于计算机桌面的更新程序,它要求“ROOT访问管理”(administrative root access)的权限,而一旦你给予了这些权限,这个软件理论上可以做任何事情。
Chambers说:“这意味着它可以安装键盘识别器,把你输入的所有东西都发送给黑客。而因此你所有的网络账号,你的金钱账户,你的身份隐私等都处于危险之中。”
苹果公司一支在收紧macOS的安全性,索尼在去年年底曾警告,macOS 10.13 High Sierra的最新安全系统可能会导致索尼产品(如a7R III等相机)的固件更新无法进行。(下图中绿色背景文字)
2018年1月,索尼针对High Sierra系统下无法更新固件的问题推出了他们的解决方案,不过这种“解决方案”并没有回应苹果关于更严格的安全要求,也没有更改他们的软件设计——而是发布了一个教程,教用户如何安装内核扩展以便于在High Sierra系统下授予软件权限。
Chambers说,要求操作系统内核访问的做法表明软件在安全设计上很糟糕。“在这个时代,仍旧需要内核扩展来为相机和摄像机安装固件更新,这显示了对安全风险的严重无知,在我看来,这简直是无能。”
Chambers还表示,索尼目前的固件更新程序要求用户假定索尼软件中不包含恶意程序。软件的签名只能保证索尼签署了一些协议,而不能保证软件没有任何病毒感染。如果索尼软件(包括在源代码级别上)遭到破坏,那么在系统重装之前,其中的恶意程序可以不受限制地对系统内核进行访问。
他还提到,几年前,索尼旗下“索尼影业”遭到黑客大规模攻击,所以用户永远不该将对安全保护的期望完全寄托在公司身上。
可以完全相信,索尼公司主观上不可能有任何危害用户计算机安全的故意,但其固件更新程序在设计上被认为是有缺陷的,很可能并可以较为容易地被黑客利用,并危害用户的信息安全。
Chambers认为,相机内固件更新程序是唯一可接受的解决方案,虽然也能百分百隔绝风险(比如下载过程),但它不会直接暴露在ROOT或者管理员级别的环境下。
对于那些不想信任索尼软件,或不想将自己的计算机安全置于索尼手中的用户,Chambers给出了解决方案,比较安全的做法是使用虚拟机(virtual machine)安装固件更新,并在完成后删除虚拟机。
外媒以及Chambers就此问题已经联系索尼公司,但目前并未收到回应。
版权声明
本微信号每天推送文章,除特别标明来源外,均为摄像人网独家稿件,喜欢本文可分享至朋友圈。未经授权,任何媒体和公众号不得转载。非法转载或“洗稿”等任何形式的抄袭将被追究法律责任。
商务合作QQ:995414003
- 还是索尼大法好!PSVR价格大跳水最低只要1268人民币
- 配合涉恐案件调查 索尼向FBI提供PS4用户数据
- 明年iPhone后置相机支持3D感知 开启增强现实大幕
- 1080p电视变4K电视?索尼PS4黑科技
- 耳机还是相机?2018年你的决定是前者还是后者?
- 腾龙官宣新镜头 ET打赌是E卡口全画幅产品
- 索尼400/2.8GM现身冬奥会 部分24-105G需维修
- 安兔兔曝光索尼新机 搭载骁龙845芯片 或在MWC上发布
- 2018 年第一波促销来了,苹果、索尼、微软都想帮你省钱 | 有用功
- 30年前老外用相机,记录下了80年代最美的中国