Ažurirajte 19. lipnja: Samsung je detaljno objasnio što možete učiniti kako biste bili sigurni da ćete dobiti rješenje za eksploataciju.
Ažuriranje 18. lipnja: Samsung poručuje Android Centralu da priprema sigurnosno ažuriranje koje od operatora neće morati čekati na potpuno ažuriranje sustava.
Samsungova tipkovnica - kao i ona koja se isporučuje na njegove telefone - danas je predmet sigurnosne firme NowSecure koji opisuje nedostatak koji omogućuje omogućavanje daljinskog izvršenja koda na vašem telefonu. Samsungova ugrađena tipkovnica koristi komplet za razvoj softvera SwiftKey za predviđanje i jezične pakete, a tu je i otkriven.
NowSecure je cijelu stvar naslovio s "Otkriven sigurnosni rizik Samsung tipkovnice: Preko 600 milijuna + uređaja širom svijeta." To su zastrašujuće stvari. (Pogotovo ako uključuje jarko crvene pozadine i zastrašujuće slike onoga što je općenito poznato kao mrtvo lice.)
Pa se trebate brinuti? Vjerojatno ne. Razbijemo ga.
Prvo: prvo nam je potvrđeno da govorimo o Samsungovoj zalihanoj tipkovnici na Galaxy S6, Galaxy S5, Galaxy S4 i GS4 Mini - a ne o verziji SwiftKey koju možete preuzeti s Google Play-a ili Apple App Store-a, To su dvije vrlo različite stvari. (A ako ne koristite Samsung telefon, očito se ništa od toga ionako ne odnosi na vas.)
Kontaktirali smo SwiftKey koji nam je dao sljedeću izjavu:
Vidjeli smo izvješća o sigurnosnim poteškoćama u vezi sa Samsung tipkovnicom koja koristi SwiftKey SDK. Možemo potvrditi da aplikacija SwiftKey Keyboard dostupna putem Google Play-a ili Apple App Store-a ne utječe na ovu ranjivost. Izvješća o ovom načinu shvaćamo vrlo ozbiljno i trenutno istražujemo dalje.
Ranije tokom dana kontaktirali smo i Samsung, ali još uvijek nisu dobili nikakav komentar. Ažurirat ćemo ako i kada dobijemo.
Čitajući tehnički blog NowSecure o eksploataciji možemo vidjeti što se događa. (Ako ga sami pročitate, imajte na umu da tamo gdje kažu "Swift" znače "SwiftKey.") Ako ste povezani na nesigurnu pristupnu točku (poput otvorene Wifi mreže), moguće je da je netko presreće i promijeni SwiftKey jezični paketi tijekom ažuriranja (što periodično čine iz očitih razloga - poboljšano predviđanje i što sve ne), šalju vaše telefonske podatke napadačima.
Mogućnost piggybacka je loše. Ali, opet, u prvom redu ovisi o tome da ste na nesigurnoj mreži (što stvarno ne biste trebali biti - izbjegavajte javne žarišne točke koje ne koriste sigurnost bežične mreže ili smatraju VPN). I da je netko tu da radi nešto gadno.
A to ovisi o tome imate li neupadljiv uređaj. Kao što NowSecure ističe, Samsung je već poslao zakrpe prijevoznicima. Jednostavno nema pojma koliko ih je gurnuo zakrpu ili u konačnici koliko uređaja ostaje ranjivo.
To je puno varijabli i nepoznanica koje u konačnici nadopunjuju još jedan akademski podvig (za razliku od onoga koji ima posljedice u stvarnom svijetu) koji doista treba (i zakrpljen je), iako to naglašava važnost operatora koji kontroliraju ažuriranja na telefone u SAD-u za brže izbacivanje ažuriranja.
Ažuriraj 17. lipnja: SwiftKey u postu na blogu kaže:
Opskrbljujemo Samsung osnovnom tehnologijom koja omogućuje predviđanje riječi na njihovoj tipkovnici. Čini se da je način na koji je ova tehnologija integrirana na Samsung uređaje uveo ranjivost sigurnosti. Činimo sve što možemo kako bismo podržali našeg dugogodišnjeg partnera Samsung u njihovim naporima da riješe ovaj nejasan, ali važan sigurnosni problem.
Predmetna ranjivost predstavlja mali rizik: korisnik mora biti povezan s kompromitiranom mrežom (kao što je spuštena javna Wi-Fi mreža), gdje je haker s pravim alatima posebno namjeravao pristupiti svom uređaju. Ovaj je pristup tada moguć samo ako korisnička tipkovnica provodi ažuriranje jezika u to određeno vrijeme, dok je spojena na ugroženu mrežu.
