Opdatering 19. juni: Samsungs detaljerede, hvad du kan gøre for at sikre dig, at du får rettelsen til udnyttelsen.
Opdatering 18. juni: Samsung fortæller Android Central, at den forbereder en sikkerhedsopdatering, som ikke behøver at vente på en komplet systemopdatering fra operatørerne.
Samsungs lagertastatur - som i det, der sendes på sine telefoner - er emnet i dag af et stykke fra sikkerhedsfirmaet NowSecure, der beskriver en fejl, der har muligheden for at tillade fjernbetjening af kode på din telefon. Samsungs indbyggede tastatur bruger SwiftKey softwareudviklingssæt til forudsigelse og sprogpakker, og det var her udnyttelsen blev fundet.
NowSecure har overskrevet det hele med "Samsung Keyboard Security Risk Disclosed: Over 600M + Devices Worldwide Impacted." Det er skræmmende klingende ting. (Især når det inkluderer lyserøde baggrunde og skræmmende billeder af det, der generelt er kendt som et dødt ansigt.)
Så har du brug for at bekymre dig? Sikkert ikke. Lad os nedbryde det.
Første ting er først: Det er blevet bekræftet for os, at vi taler om Samsungs lagertastatur på Galaxy S6, Galaxy S5, Galaxy S4 og GS4 Mini - og ikke den version af SwiftKey, som du kan downloade fra Google Play eller Apple App Store. Det er to meget forskellige ting. (Og hvis du ikke bruger en Samsung-telefon, gælder det naturligvis ikke noget af dette alligevel.)
Vi nåede ud til SwiftKey, som gav os følgende udsagn:
Vi har set rapporter om et sikkerhedsproblem relateret til Samsung-lagertastaturet, der bruger SwiftKey SDK. Vi kan bekræfte, at SwiftKey Keyboard-appen, der er tilgængelig via Google Play eller Apple App Store, ikke er påvirket af denne sårbarhed. Vi tager rapporter om denne måde meget alvorligt og undersøger i øjeblikket yderligere.
Vi nåede også ud til Samsung tidligere på dagen, men har endnu ikke modtaget nogen kommentarer. Vi opdaterer, hvis og når vi får en.
Ved at læse gennem NowSecures tekniske blog om udnyttelsen kan vi få et glimt af, hvad der foregår. (Hvis du læser det selv, skal du være opmærksom på, at hvor de siger "Swift", de betyder "SwiftKey.") Hvis du er tilsluttet et usikkert adgangspunkt (f.eks. Et åbent Wifi-netværk), er det muligt for nogen at opfange og ændre SwiftKey-sprogpakkerne, mens de opdateres (hvilket de med jævne mellemrum gør af åbenlyse årsager - forbedret forudsigelse og hvad ikke), ved at sende dine telefondata fra angriberen.
At være i stand til at sparke tilbage, det er dårligt. Men igen er det afhængigt af, at du er på et usikkert netværk i første omgang (hvilket du virkelig ikke burde være - undgå offentlige hotspots, der ikke bruger trådløs sikkerhed, eller overveje en VPN). Og nogen der er for at gøre noget uærligt i første omgang.
Og det afhænger af, at du har en enestående enhed. Som NowSecure selv påpeger, har Samsungs allerede indsendte programrettelser til transportørerne. Det har bare ingen idé om, hvor mange der har skubbet patch'en, eller i sidste ende hvor mange enheder der forbliver sårbare.
Dette er en masse variabler og ukendte, der i sidste ende tilføjer en anden akademisk udnyttelse (i modsætning til en, der har virkninger fra den virkelige verden), som virkelig skal (og er blevet) rettet, selvom det understreger vigtigheden af de operatører, der kontrollerer opdateringer til telefoner i USA for at få opdateringer skubbet hurtigere ud.
Opdatering 17. juni: SwiftKey siger i et blogindlæg:
Vi forsyner Samsung med kerneteknologien, der giver ordet forudsigelser på deres tastatur. Det ser ud til, at den måde, denne teknologi blev integreret på Samsung-enheder på, introducerede sikkerhedssårbarheden. Vi gør alt for at støtte vores langvarige partner Samsung i deres bestræbelser på at løse dette uklare, men vigtige sikkerhedsproblem.
Den pågældende sårbarhed udgør en lav risiko: en bruger skal være tilsluttet et kompromitteret netværk (f.eks. Et forfalsket offentligt Wi-Fi-netværk), hvor en hacker med de rigtige værktøjer specifikt har til hensigt at få adgang til deres enhed. Denne adgang er derefter kun mulig, hvis brugerens tastatur udfører en sprogopdatering på det specifikke tidspunkt, mens den er tilsluttet det kompromitterede netværk.
