索尼相机官网-索尼相机的固件更新软件有安全风险？

日前综合外媒报道，索尼的相机固件更新进程存在着严重的安全风险，可能会危害你的计算机和数据安全。

摄影和计算机专家Lloyd Chambers早在2017年10月就报道了这个问题。Chambers称，尼康和佳能等公司采用了相对安全的相机内固件更新流程，但索尼使用的却是基于计算机桌面的更新程序，它要求“ROOT访问管理”（administrative root access）的权限，而一旦你给予了这些权限，这个软件理论上可以做任何事情。

Chambers说：“这意味着它可以安装键盘识别器，把你输入的所有东西都发送给黑客。而因此你所有的网络账号索尼相机官网，你的金钱账户，你的身份隐私等都处于危险之中。”

苹果公司一支在收紧macOS的安全性，索尼在去年年底曾警告索尼相机官网，macOS 10.13 High Sierra的最新安全系统可能会导致索尼产品（如a7R III等相机）的固件更新无法进行。（下图中绿色背景文字）

2018年1月，索尼针对High Sierra系统下无法更新固件的问题推出了他们的解决方案，不过这种“解决方案”并没有回应苹果关于更严格的安全要求，也没有更改他们的软件设计——而是发布了一个教程，教用户如何安装内核扩展以便于在High Sierra系统下授予软件权限。

Chambers说，要求操作系统内核访问的做法表明软件在安全设计上很糟糕。“在这个时代，仍旧需要内核扩展来为相机和摄像机安装固件更新，这显示了对安全风险的严重无知，在我看来，这简直是无能。”

Chambers还表示，索尼目前的固件更新程序要求用户假定索尼软件中不包含恶意程序。软件的签名只能保证索尼签署了一些协议，而不能保证软件没有任何病毒感染。如果索尼软件（包括在源代码级别上）遭到破坏，那么在系统重装之前，其中的恶意程序可以不受限制地对系统内核进行访问。

他还提到，几年前，索尼旗下“索尼影业”遭到黑客大规模攻击，所以用户永远不该将对安全保护的期望完全寄托在公司身上。

可以完全相信，索尼公司主观上不可能有任何危害用户计算机安全的故意，但其固件更新程序在设计上被认为是有缺陷的，很可能并可以较为容易地被黑客利用，并危害用户的信息安全。

Chambers认为，相机内固件更新程序是唯一可接受的解决方案，虽然也能百分百隔绝风险（比如下载过程），但它不会直接暴露在ROOT或者管理员级别的环境下。

对于那些不想信任索尼软件，或不想将自己的计算机安全置于索尼手中的用户，Chambers给出了解决方案，比较安全的做法是使用虚拟机（virtual machine）安装固件更新，并在完成后删除虚拟机。

外媒以及Chambers就此问题已经联系索尼公司，但目前并未收到回应。

———END———
限 时 特 惠： 本每日持续更新海量各大内部创业教程，一年会员只需98元，全资源免费下载 
优惠码（不再需要）： xnbaoku