Aktualizácia 19. júna: Spoločnosť Samsung podrobne popisuje, čo môžete urobiť, aby ste sa ubezpečili, že ste dostali opravu pre zneužitie.
Aktualizácia 18. júna: Spoločnosť Samsung oznámi systému Android Central, že pripravuje aktualizáciu zabezpečenia, ktorá nebude musieť čakať na úplnú aktualizáciu systému od operátorov.
Akciová klávesnica spoločnosti Samsung - rovnako ako klávesnica dodávaná na jej telefónoch - je dnes predmetom kusu bezpečnostnej spoločnosti NowSecure, ktorá podrobne popisuje chybu, ktorá umožňuje vzdialene vykonať kód v telefóne. Vstavaná klávesnica spoločnosti Samsung používa súpravu na vývoj softvéru SwiftKey na predikciu a jazykové balíčky, a tam sa našlo využitie.
Spoločnosť NowSecure túto vec označila nadpisom „Zverejnené bezpečnostné riziko klávesnice Samsung: viac ako 600 miliónov zariadení na celom svete“. To je strašidelne znejúce. (Najmä vtedy, keď obsahuje jasne červené pozadie a strašidelné obrázky toho, čo sa všeobecne nazýva mŕtve tváre.)
Takže sa musíte báť? Pravdepodobne nie. Poďme to rozobrať.
Prvá vec je prvá: Potvrdilo sa nám, že hovoríme o skladovej klávesnici Samsung na Galaxy S6, Galaxy S5, Galaxy S4 a GS4 Mini - a nie na verziu SwiftKey, ktorú si môžete stiahnuť z Google Play alebo Apple App Store., To sú dve veľmi odlišné veci. (A ak nepoužívate telefón Samsung, nič z toho samozrejme neplatí pre vás.)
Oslovili sme SwiftKey, ktorý nám dal nasledujúce vyhlásenie:
Videli sme správy o probléme so zabezpečením súvisiacim s klávesnicou Samsung, ktorá používa súpravu SwiftKey SDK. Môžeme potvrdiť, že táto chyba zabezpečenia nie je ovplyvnená aplikáciou klávesnice SwiftKey, ktorá je k dispozícii prostredníctvom služby Google Play alebo Apple App Store. Správy týmto spôsobom berieme veľmi vážne a v súčasnosti ich vyšetrujeme.
Tiež sme sa na spoločnosť Samsung obrátili skôr, ale ešte sme nedostali komentár. Budeme aktualizovať, ak a kedy dostaneme.
Čítaním o blogu o technickom blogu spoločnosti NowSecure sa môžeme pozrieť, čo sa deje. (Ak si to prečítate sami, uvedomte si, že ak hovoria „Swift“, znamená to „SwiftKey“.) Ak ste pripojení k nezabezpečenému prístupovému bodu (napríklad k otvorenej sieti Wi-Fi), je možné, že niekto zachytí a zmení jazykové balíčky SwiftKey sa aktualizujú (čo pravidelne robia zo zrejmých dôvodov - vylepšená predpoveď a čo nie), posielajú vaše telefónne údaje od útočníkov.
Byť schopný priviesť to zlé. Znovu však záleží na tom, aby ste boli v prvom rade na nezabezpečenej sieti (čo by ste naozaj nemali byť - vyhnite sa verejným hotspotom, ktoré nevyužívajú zabezpečenie bezdrôtovej siete alebo nezohľadňujú VPN). A niekto tam bol, aby urobil v prvom rade niečo škodlivé.
A záleží na tom, či máte nepriložené zariadenie. Ako samotná spoločnosť NowSecure zdôrazňuje, spoločnosti Samsung už odovzdali záplaty dopravcom. Len netuší, koľko z nich tlačilo záplatu, alebo nakoniec, koľko zariadení zostáva zraniteľných.
To je veľa premenných a neznámych, ktoré nakoniec prispievajú k ďalšiemu akademickému využitiu (na rozdiel od toho, ktoré má dôsledky v reálnom svete), ktorý skutočne potrebuje (a bol) opravený, hoci zdôrazňuje dôležitosť subjektov, ktoré kontrolujú aktualizácie telefónov v USA, aby sa aktualizácie dostávali rýchlejšie.
Aktualizácia 17. júna: SwiftKey v príspevku blogu hovorí:
Dodávame spoločnosti Samsung základnú technológiu, ktorá poháňa predpovede slov na ich klávesnici. Zdá sa, že spôsob, akým bola táto technológia integrovaná do zariadení Samsung, spôsobil zraniteľnosť zabezpečenia. Robíme všetko, čo je v našich silách, aby sme podporili nášho dlhodobého partnera Samsung v jeho úsilí vyriešiť tento nejasný, ale dôležitý bezpečnostný problém.
Táto zraniteľnosť predstavuje nízke riziko: používateľ musí byť pripojený k ohrozenej sieti (napríklad k spoofed verejnej sieti Wi-Fi), kde hacker so správnymi nástrojmi konkrétne zamýšľa získať prístup k svojmu zariadeniu. Tento prístup je potom možný iba vtedy, keď klávesnica používateľa vykonáva jazykovú aktualizáciu v danom čase, keď je pripojená k ohrozenej sieti.
