Оновлення 19 червня: Samsung детально описує, що ви можете зробити, щоб переконатися, що ви отримаєте виправлення в експлуатації
Оновлення 18 червня: Samsung повідомляє Android Central, що готує оновлення безпеки, яке не доведеться чекати повного оновлення системи від операторів.
Акціонна клавіатура Samsung - як і та, яка постачається на її телефони - сьогодні є предметом від охоронної фірми NowSecure, який детально описує недолік, який дозволяє можливість віддалено виконувати код на вашому телефоні. Вбудована клавіатура Samsung використовує комплект програмного забезпечення для розробки програмного забезпечення SwiftKey для прогнозування та мовних пакетів, і саме тут знайдено подвиг.
NowSecure підкреслив все, що стосується "Розкрито ризик безпеки клавіатури Samsung: Понад 600 млн. Пристроїв у всьому світі". Це страшно звучать речі. (Особливо, якщо він включає яскраво-червоні фони та страшно виглядають зображення того, що загалом відомо як мертве обличчя.)
Тож вам потрібно хвилюватися? Напевно, ні. Давайте розбимо його.
Перше: перше: нам було підтверджено, що ми говоримо про акційну клавіатуру Samsung на Galaxy S6, Galaxy S5, Galaxy S4 та GS4 Mini - а не про версію SwiftKey, яку можна завантажити з Google Play або Apple App Store. Це дві дуже різні речі. (І якщо ви не використовуєте телефон Samsung, очевидно, нічого з цього не стосується.)
Ми звернулися до SwiftKey, який дав нам таке твердження:
Ми бачили повідомлення про проблеми безпеки, пов’язані з клавіатурою Samsung, яка використовує SDK SwiftKey. Ми можемо підтвердити, що програма SwiftKey Keyboard, доступна через Google Play або Apple App Store, не впливає на цю вразливість. Ми сприймаємо звіти про такий спосіб дуже серйозно і наразі проводимо розслідування.
Ми також звернулися до Samsung раніше цього дня, але поки не отримали жодних коментарів. Ми оновимо, якщо і коли отримаємо.
Читаючи технічний блог NowSecure про експлуатацію, ми можемо отримати уявлення про те, що відбувається. (Якщо ви самі це читаєте, зауважте, що там, де вони говорять "Swift", вони означають "SwiftKey".) Якщо ви підключені до незахищеної точки доступу (наприклад, до відкритої мережі Wi-Fi), хтось може перехопити та змінити мова пакетів SwiftKey під час оновлення (що вони періодично роблять з очевидних причин - покращення прогнозування, а що ні), надсилаючи дані вашого телефону від зловмисників.
Вміти підбирати, що погано. Але, знову ж таки, це залежить, перш за все, від того, що ви знаходитесь в незахищеній мережі (чого ви насправді не повинні бути - уникайте публічних гарячих точок, які не використовують безпеку бездротового зв’язку, або вважайте VPN). І хтось там, щоб вчинити щось недобре в першу чергу.
І це залежить від того, чи матимете безпакетний пристрій. Як вказує NowSecure, компанія Samsung вже подала патчі перевізникам. Він просто не має уявлення, скільки людей натиснуло патч, або в кінцевому підсумку, скільки пристроїв залишаються вразливими.
Це безліч змінних і невідомих, які в кінцевому підсумку доповнюють ще один академічний подвиг (на відміну від того, який має наслідки в реальному світі), який дійсно потребує (і був) виправлений, хоча це підкреслює важливість операторів, які контролюють оновлення телефонів у США, щоб швидше витісняти оновлення.
Оновлення 17 червня: SwiftKey в публікації в блозі говорить:
Ми постачаємо Samsung основної технології, яка забезпечує передбачення слова на їх клавіатурі. Здається, що спосіб інтегрування цієї технології на пристрої Samsung вніс уразливість безпеки. Ми робимо все можливе, щоб підтримати нашого давнього партнера Samsung у їхніх зусиллях щодо вирішення цієї малозрозумілої, але важливої проблеми безпеки.
Про вразливу вразливість виникає низький ризик: користувач повинен бути підключений до компрометованої мережі (наприклад, підробленої загальнодоступної мережі Wi-Fi), де хакер із потрібними інструментами спеціально мав намір отримати доступ до свого пристрою. Тоді цей доступ можливий, лише якщо клавіатура користувача проводить оновлення мови в цей конкретний час під час підключення до компрометованої мережі.
