控制域名忘记续费，三星数百万台手机陷入“任人宰割”境地

在2014年或之前时候，三星曾在旗下Android智能手机里内置一款名为“S Suggest”的应用，可以根据目前安装应用、搜索和其它因素向用户推荐新应用。这个推荐功能需要联网才能工作，“S Suggest”把数据传至ssuggest.com，然后由ssuggest.com返回推荐结果。

三星在2014年砍掉了“S Suggest”项目，应用的控制域名ssuggest.com也不再更新。直到最近，三星忘记给域名续费，让一位安全研究员重新注册，接管了域名的控制权。

Anubis Labs的首席技术官João Gouveia表示，他在星期一接管了域名。他说三星正在把数百万台智能手机的远控域名拱手让人，域名失效后，任何人都可以重新注册，向这数百万台手机推送恶意应用。

报道出来后，三星对Motherboard更正，表示不认同研究员的说法。官方称虽然域名被接管，但域名“无法让攻击者安装恶意软件，也不允许攻击者控制用户的手机”。

注册域名后，短短24小时内，Gouveia看到有大约210万台设备向ssuggest.com发送了6.2亿个检查或连接请求。“S Suggest”有许多权限，包括远程重启手机、安装应用或包。

独立Android安全研究员Ben Actis说，如果不是Gouveia，而是一名骇客注册了ssuggest.com，那么对方可能直接就向数百万台设备去推送恶意后门和木马。三星的回应简直fucked up。

好在域名是被Gouveia注册了，使用“S Suggest”的用户暂时不用担心。Gouveia称愿意把域名给三星，“希望他们不会再丢掉了”。

三星尚未发布回应，目前还不清楚他们要怎么解决这个问题。比如联系Gouveia拿到域名，更新系统移除服务等。

而类似“为什么三星内部的项目收尾可以如此随意，以至于让手机高权限服务停止后仍可能被骇客利用”的疑惑，恐怕永远不会得到答案。

前不久还发生过另一个极度尴尬的事，三星自研的Tizen系统爆出四十个漏洞，被研究员吐槽是见过最糟糕的代码。

三星安全的日常是不是已经变成天天听同行吐槽了？