Aktualizacja 19 czerwca: szczegółowe informacje o tym, co możesz zrobić, aby upewnić się, że otrzymałeś poprawkę dla exploita.
Aktualizacja 18 czerwca: Samsung informuje Android Central, że przygotowuje aktualizację zabezpieczeń, która nie będzie musiała czekać na pełną aktualizację systemu od operatorów.
Klawiatura zapasowa Samsunga - podobnie jak ta, która jest dostarczana z telefonami - jest dziś przedmiotem artykułu firmy ochroniarskiej NowSecure, który szczegółowo opisuje usterkę, która ma możliwość zezwalania na zdalne wykonanie kodu w telefonie. Wbudowana klawiatura Samsung wykorzystuje zestaw programistyczny SwiftKey do przewidywania i pakietów językowych i tam właśnie znaleziono exploita.
Teraz firma Secure jest na czele z „Ujawnionym zagrożeniem bezpieczeństwa klawiatury Samsung: ponad 600 milionów urządzeń na całym świecie”. To strasznie brzmiące rzeczy. (Zwłaszcza, gdy zawiera jaskrawoczerwone tło i przerażająco wyglądające obrazy zwane martwą twarzą).
Więc musisz się martwić? Prawdopodobnie nie. Rozbijmy to.
Po pierwsze: potwierdzono nam, że mówimy o standardowej klawiaturze Samsunga na Galaxy S6, Galaxy S5, Galaxy S4 i GS4 Mini - a nie o wersji SwiftKey, którą można pobrać z Google Play lub Apple App Store. To dwie bardzo różne rzeczy. (A jeśli nie używasz telefonu Samsung, oczywiście to i tak cię nie dotyczy.)
Dotarliśmy do SwiftKey, który dał nam następujące oświadczenie:
Widzieliśmy raporty o problemach z bezpieczeństwem związanych z klawiaturą Samsung, która korzysta z zestawu SDK SwiftKey. Możemy potwierdzić, że ta luka nie dotyczy aplikacji SwiftKey Keyboard dostępnej w Google Play lub Apple App Store. Bardzo poważnie podchodzimy do tego typu zgłoszeń i obecnie prowadzimy dalsze badania.
Dotarliśmy też do Samsunga wcześniej tego dnia, ale nie otrzymaliśmy jeszcze żadnych komentarzy. Zaktualizujemy, jeśli i kiedy go dostaniemy.
Czytając blog techniczny NowSecure na temat exploita, możemy rzucić okiem na to, co się dzieje. (Jeśli czytasz to sam, zauważ, że gdy mówią „Swift”, oznaczają „SwiftKey”). Jeśli masz połączenie z niezabezpieczonym punktem dostępu (takim jak otwarta sieć Wi-Fi), ktoś może przechwycić i zmienić pakiety językowe SwiftKey są aktualizowane podczas aktualizacji (co okresowo robią to z oczywistych powodów - poprawione przewidywanie, a co nie), wysyłając dane telefonu od atakujących.
Zdolność do barana to źle. Ale znowu to zależy od tego, czy jesteś w niezabezpieczonej sieci (czego tak naprawdę nie powinno być - unikaj publicznych hotspotów, które nie używają zabezpieczeń sieci bezprzewodowej lub rozważ VPN). A przede wszystkim ktoś, kto chce tam zrobić coś niegodziwego.
I to zależy od tego, czy masz niezałatane urządzenie. Jak podkreśla sam NowSecure, Samsung już przesłał łaty przewoźnikom. Po prostu nie ma pojęcia, ile z nich wypchnęło łatę, ani ostatecznie, ile urządzeń pozostaje zagrożonych.
Jest to wiele zmiennych i niewiadomych, które ostatecznie składają się na kolejny exploit akademicki (w przeciwieństwie do tego, który ma implikacje w świecie rzeczywistym), który rzeczywiście wymaga (i został) załatany, choć podkreśla znaczenie operatorów, którzy kontrolują aktualizacje telefonów w USA, aby aktualizacje były szybciej wypychane.
Aktualizacja 17 czerwca: SwiftKey w poście na blogu mówi:
Dostarczamy Samsungowi podstawową technologię, która napędza przewidywania słów na klawiaturze. Wygląda na to, że sposób, w jaki ta technologia została zintegrowana z urządzeniami Samsung, wprowadził lukę w zabezpieczeniach. Robimy wszystko, co w naszej mocy, aby wspierać naszego wieloletniego partnera Samsunga w ich wysiłkach zmierzających do rozwiązania tego niejasnego, ale ważnego problemu dotyczącego bezpieczeństwa.
Omawiana luka stanowi niewielkie ryzyko: użytkownik musi być podłączony do zaatakowanej sieci (takiej jak sfałszowana publiczna sieć Wi-Fi), gdzie haker dysponujący odpowiednimi narzędziami specjalnie chciał uzyskać dostęp do swojego urządzenia. Dostęp jest wtedy możliwy tylko wtedy, gdy klawiatura użytkownika przeprowadza aktualizację języka w tym określonym czasie, gdy jest podłączona do zagrożonej sieci.
