数日前,谷歌突然放出支持安卓系统的开源Samba客户端应用,SMB协议帮助安卓用户方便都通过SMB通信协议,访问在局域网上的共享文件和打印机。谷歌描述其为“Samba客户端的直接移植版”,但未提及其目前仅仅支持非常易受攻击的SMBv1网络协议访问,如果局域网的SMB服务端禁用了SMBv1组件应用则会遭到拒绝访问。
Android Police的编辑Corbin Davenport测试使用该客户端,无法访问禁用SMBv1的SMB服务环境。如果仅支持SMBv1协议,那安卓版开源Samba客户端的意义将会大打折扣,而且容易使得其暴露在安全威胁之下。
此前恶名远播的WannaCry勒索软件,就是利用NSA(美国国家安全局)根据Windows SMBv1协议漏洞(MS17-010)制造出的“永恒之蓝”网络武器,导致攻击威力倍增。为了防止该漏洞继续被利用,微软已经表示将在后续的Windows 10系统中直接删除掉SMBv1协议。
原始的SMBv1协议已存在了近30年,和许多80年代的软件一样,其是在没有恶意攻击者、没有太多重要数据,电脑使用量也不高的背景下开发出来的,因而早已无法胜任当今网络环境下的应用部署。SMBv2和SMBv3都没有此类问题。