Hlavní navigace

Až 600 milionů Samsungů ohrožuje chyba v softwaru pro klávesnice

 Autor: Samsung
David Slížek

Chyba umožňuje útočníkům teoreticky využívat data z mikrofonu, kamer či GPS, poslouchat hovory či instalovat do mobilů svůj software.

Bezpečnostní díra se do mobilních zařízení Samsungu dostala prostřednictvím technologie pro predikci psaní na klávesnici, kterou Samsung do zařízení předinstaloval. Jde o licencovaný software od britské firmy SwiftKey – nejde však přímo o její aplikaci, ale o SDK, které výrobci mobilů licencuje. Aplikace SwiftKey, která je k dostání v Google Play, ohrožená není a jejím odinstalováním problém rozhodně nevyřešíte.

A nevyřešíte jej ani žádným další způsobem – opravný patch totiž musí přijít od vašeho operátora. Bezpečnostní firma NowSecure, která chybu objevila, o ní už loni v listopadu řekla Samsungu. Ten podle svého vyjádření začátkem letošního roku poskytl operátorům opravný patch. Jenže, jak se ukázalo, zdaleka ne všichni jej do telefonů skutečně odeslali.

Podle odhadů NowSecure přitom může být potenciálně zranitelných více než 600 milionů zařízení – počínaje modelem Galaxy S4 Mini až po současný nejvyšší model Galaxy S6.

Pozor na nebezpečné wifi

Chyba teoreticky dává útočníkům přístup k GPS, kamerám i mikrofonu mobilního zařízení, včetně toho, že mohou odposlouchávat příchozí i odchozí hovory a instalovat do zařízení svůj software. 

Podle NowSecure je problém v tom, že klávesnicový software je podepsán soukromým klíčem Samsungu, takže v telefonu může fungovat s vyššími právy než jiný software. Klávesnice má přitom mechanismus, který do ní umožňuje přidávat nové jazykové balíčky. A pokud útočník dokáže tato data změnit, má bránu do telefonu otevřenou. 

Není to samozřejmě tak jednoduché – aby útočník mohl chybu zneužít, musí být zároveň schopný pozměnit data, která do telefonu či tabletu přicházejí. Musí tedy být například připojen ke stejné wi-fi síti (nebo uživatele zmanipulovat tak, aby se připojil k jeho AP), případně přesměrovat připojení prostřednictvím DNS Hijacking a dalších technik. 

Hlavním bezpečnostním opatřením ze strany uživatelů tak je nepřipojovat se k nezabezpečeným a neznámým wifi sítím (což je riskantní tak jako tak). Další technické podrobnosti o chybě najdete zde.

Samsung podle vyjádření SwiftKey slíbil, že během několika dnů vydá opravný patch také prostřednictvím svého systému KNOX.

Našli jste v článku chybu?

18. 6. 2015 13:00

Nějak jsem nepochopil co má operátor společného s mým mobilem ani jak mi tu aktualizaci poskytne. To mi pošle nějakou SMS s odkazem? Nebo mě při brouzdání na webu z mobilu přesměruje na nějakou aktualizační stránku? Vždyť ani nemusím mít mobilní internet a můžu používat jenom WiFi. A jak vůbec pozná, že mám chybou postiženého Samsunga? (možná z IMEI???)

19. 6. 2015 9:04

A.S. Pergill (neregistrovaný)

naprosto nepotřebný SW a ještě tak blbě, že to ohrožuje celý telefon. Různé "nápovědy" a "našeptávače" vypínám, protože jen obtěžují a zdržují, případně mažu. Tady vidím, že to tam nacpali takovým způsobem, že ten šmejd ani nejde odstranit.

DigiZone.cz: Zdeněk Gerlický: nový ředitel nangu.tv

Zdeněk Gerlický: nový ředitel nangu.tv

Vitalia.cz: Nejlepší obranou při nachlazení je útok

Nejlepší obranou při nachlazení je útok

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Podnikatel.cz: Daňové úlevy s EET nestačí. Budou zdražovat

Daňové úlevy s EET nestačí. Budou zdražovat

DigiZone.cz: Vedení ČRo: personální změny od ledna

Vedení ČRo: personální změny od ledna

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

120na80.cz: 5 nejčastějších mýtů o kondomech

5 nejčastějších mýtů o kondomech

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček