尷尬了：谷歌Android Samba應用僅支持不安全的SMBv1

近日谷歌首次推出其新的Android Samba應用，這顯然不是好的發布時機，因為在不久前，在重大攻擊事故中攻擊者就利用了該應用中部署的不安全版本SMB協議。最近幾個月來，伺服器消息塊(SMBv1)協議中的漏洞通過NSA泄漏的EternalBlue工具在Windows系統被利用，作為WannaCry和Petya勒索軟體攻擊的一部分，以及針對Linux的SambaCry攻擊的一部分。雖然目前尚不清楚這些漏洞是否存在於谷歌的應用中，但該Android Samba應用僅支持SMBv1。

羅馬尼亞反惡意軟體公司Bitdefender高級電子威脅分析師Liviu Arsene指出，谷歌發布的時機可能不太好。

「在整個WannaCry/GoldenEye事件之前，該應用早已經在谷歌產品路線圖中，而通過SMBv1編碼的部分在這些事件之前已經構建，」Arsene表示，「但無論如何，對SMBv1支持早已經減少，而且出於明顯的安全問題，大家都應該禁用它。」

網路安全供應商Plixer International審計與合規性主管Justin Jett則表示，由於谷歌的Android Samba應用是Samba的直接分支，它本身與Samba一樣安全。

「然而，SMBv1是Windows操作系統的一部分，修復微軟操作系統是消除EternalBlue SMBv1漏洞的唯一已知方法。SMBv1仍然在世界各地廣泛部署，而這款來自谷歌的新Samba應用讓Android和Chrome OS用戶可連接到Windows共享驅動器，」Jett稱，「該Samba應用不會影響SMBv1漏洞狀態;無論是否已經安裝微軟補丁。後續版本SMBv2和v3具有更強的安全性，但SMBv1被廣泛使用，該谷歌應用是針對這些用戶。」

Arsene指出，谷歌的Android Samba應用不太可能會導致針對Android的SambaCry類似攻擊，「仍然使用SMBv1的Samba伺服器比Android設備具有更高的風險。」

Arsene還表示，目前尚不清楚谷歌是否有必要發布自己的Android Samba應用。

「Google Play確實有相當數量的Samba文件共享客戶端，這些客戶端的下載次數似乎已經達到幾百萬次，」Arsene稱，「我們無法確定谷歌是否有必要發布自己的應用，特別是因為它似乎沒有提供比現有應用更多的功能。」

在Google Play中，最受歡迎的Android Samba應用AndSMB擁有一百萬到五百萬次左右的下載量，但它似乎有著與谷歌應用相同的問題。AndSMB僅支持SMBv1，直到2017年6月5日3.5版本發布，其中為SMBv2和v3增加了「實驗性」支持。

End.

如果對軟體測試感興趣，想了解更多的軟體測試知識，請大家關注「51Testing軟體測試網」鳳凰號。