Frissítse június 19-én: A Samsung részletesen bemutatja, mit tehet annak érdekében, hogy megszerezze a javítás javítását.
Frissítés június 18-án: A Samsung azt mondja az Android Centralnak, hogy biztonsági frissítést készít, amelynek nem kell várnia a teljes rendszerfrissítést az operátoroktól.
A Samsung készletbillentyűzete - akárcsak a telefonjára szállított billentyűzet - ma a NowSecure biztonsági cég által készített cikk tárgya, amely olyan hibát részletez, amely lehetővé teszi a kód távoli végrehajtását a telefonján. A Samsung beépített billentyűzete a SwiftKey szoftverfejlesztő készletet használja előrejelzésekhez és nyelvi csomagokhoz, és itt találták ki a kizsákmányolást.
A NowSecure az egész dolgot a "Samsung billentyűzet biztonsági kockázatának nyilvánosságra hozatala: Több mint 600 millió eszköz + világszerte befolyásolt eszköz" címet viseli. Ez ijesztően hangzó cucc. (Különösen akkor, ha fényes vörös háttérrel és ijesztő megjelenésű képeket tartalmaz, amelyeket általában halott arcnak hívnak.)
Szóval aggódnia kell? Valószínűleg nem. Lebontjuk.
Az első dolog az első: Megerősítették számunkra, hogy a Samsung részvényeinek billentyűzetéről beszélünk a Galaxy S6, Galaxy S5, Galaxy S4 és GS4 Mini készüléken - és nem a SwiftKey verziójáról, amelyet letölthet a Google Playről vagy az Apple App Store-ból.. Ez két nagyon különböző dolog. (És ha nem Samsung telefont használ, nyilvánvalóan mindez nem vonatkozik rád.)
Megkeresettük a SwiftKey-t, amely a következő nyilatkozatot adott nekünk:
Jelentettünk jelentéseket a SwiftKey SDK-t használó Samsung készlet-billentyűzettel kapcsolatos biztonsági problémáról. Megerősíthetjük, hogy a Google Playen vagy az Apple App Store-on elérhető SwiftKey billentyűzet alkalmazást nem érinti ez a biztonsági rés. Nagyon komolyan vesszük az ilyen jellegű jelentéseket, és jelenleg további vizsgálatokat folytatunk.
A nap elején már felhívtuk a Samsungot, de még nem kapott megjegyzést. Frissítjük, ha és mikor kapunk egyet.
Olvassa el a NowSecure műszaki blogját a kizsákmányolásról, és bepillantást nyerhet a folyamatba. (Ha maga elolvassa, ne feledje, hogy ha azt mondják, hogy „Swift”, azt jelenti: „SwiftKey”.) Ha nem biztonságos hozzáférési ponthoz (például egy nyílt Wifi hálózathoz) csatlakozik, lehetséges, hogy valaki elfoghatja és megváltoztathatja azt. a SwiftKey nyelvi csomagok, amikor frissülnek (amit rendszeresen tesznek nyilvánvaló okokból - jobb előrejelzés és mi nem), és a telefon adatait elküldik a támadóktól.
Annak képessége, hogy hozzákapcsolódjunk, ami rossz. De ez ismét attól függ, hogy nem biztonságos hálózatban van-e az első helyen (aminek valójában nem szabad lennie - kerülje el a nyilvános hotspotokat, amelyek nem használnak vezeték nélküli biztonságot, vagy fontolgassa a VPN-t). És valaki ott van, hogy valami rosszat tegyen.
És attól függ, hogy van-e egy nem csomagolt eszköz. Amint maga a NowSecure rámutat, a Samsung már benyújtott javításokat a fuvarozóknak. Fogalmam sincs, hogy hányan tolták el a javítást, vagy hogy végül hány eszköz marad sebezhető.
Ezek sok olyan változó és ismeretlen, amelyek végül hozzáadódnak egy másik tudományos kihasználáshoz (ellentétben azzal, amelynek valós vonatkozásai vannak), amelyet valóban javítani kell (és már javítottak is), bár ez aláhúzza az irányító szereplők fontosságát. az Egyesült Államok telefontelefonjainak frissítései a frissítések gyorsabb kiszállításához.
Frissítés június 17-én: A SwiftKey egy blogbejegyzésben azt mondja:
A Samsungot az alapvető technológiával látjuk el, amely a billentyűzet billentyűjében biztosítja a szó előrejelzéseket. Úgy tűnik, hogy a technológianak a Samsung készülékekbe történő integrálása bevezette a biztonsági rést. Mindent megteszünk annak érdekében, hogy támogassuk a Samsung hosszú távú partnerünket a homályos, de fontos biztonsági kérdés megoldása érdekében.
A szóban forgó sebezhetőség alacsony kockázatot jelent: a felhasználónak csatlakoznia kell egy veszélyeztetett hálózathoz (például hamisított nyilvános Wi-Fi hálózathoz), ahol a megfelelő eszközökkel rendelkező hacker kifejezetten arra törekedett, hogy hozzáférjen eszközéhez. Ez a hozzáférés csak akkor lehetséges, ha a felhasználó billentyűzete egy adott időben folytat egy nyelvi frissítést, miközben csatlakozik a sérült hálózathoz.
