Hlavní navigace

Až 600 milionů Samsungů ohrožuje chyba v softwaru pro klávesnice

Autor: Samsung
David Slížek

Chyba umožňuje útočníkům teoreticky využívat data z mikrofonu, kamer či GPS, poslouchat hovory či instalovat do mobilů svůj software.

Bezpečnostní díra se do mobilních zařízení Samsungu dostala prostřednictvím technologie pro predikci psaní na klávesnici, kterou Samsung do zařízení předinstaloval. Jde o licencovaný software od britské firmy SwiftKey – nejde však přímo o její aplikaci, ale o SDK, které výrobci mobilů licencuje. Aplikace SwiftKey, která je k dostání v Google Play, ohrožená není a jejím odinstalováním problém rozhodně nevyřešíte.

A nevyřešíte jej ani žádným další způsobem – opravný patch totiž musí přijít od vašeho operátora. Bezpečnostní firma NowSecure, která chybu objevila, o ní už loni v listopadu řekla Samsungu. Ten podle svého vyjádření začátkem letošního roku poskytl operátorům opravný patch. Jenže, jak se ukázalo, zdaleka ne všichni jej do telefonů skutečně odeslali.

Podle odhadů NowSecure přitom může být potenciálně zranitelných více než 600 milionů zařízení – počínaje modelem Galaxy S4 Mini až po současný nejvyšší model Galaxy S6.

Pozor na nebezpečné wifi

Chyba teoreticky dává útočníkům přístup k GPS, kamerám i mikrofonu mobilního zařízení, včetně toho, že mohou odposlouchávat příchozí i odchozí hovory a instalovat do zařízení svůj software. 

Podle NowSecure je problém v tom, že klávesnicový software je podepsán soukromým klíčem Samsungu, takže v telefonu může fungovat s vyššími právy než jiný software. Klávesnice má přitom mechanismus, který do ní umožňuje přidávat nové jazykové balíčky. A pokud útočník dokáže tato data změnit, má bránu do telefonu otevřenou. 

Není to samozřejmě tak jednoduché – aby útočník mohl chybu zneužít, musí být zároveň schopný pozměnit data, která do telefonu či tabletu přicházejí. Musí tedy být například připojen ke stejné wi-fi síti (nebo uživatele zmanipulovat tak, aby se připojil k jeho AP), případně přesměrovat připojení prostřednictvím DNS Hijacking a dalších technik. 

Content 2017 Tip Kytary

Hlavním bezpečnostním opatřením ze strany uživatelů tak je nepřipojovat se k nezabezpečeným a neznámým wifi sítím (což je riskantní tak jako tak). Další technické podrobnosti o chybě najdete zde.

Samsung podle vyjádření SwiftKey slíbil, že během několika dnů vydá opravný patch také prostřednictvím svého systému KNOX.

Našli jste v článku chybu?
18. 6. 2015 13:00

Nějak jsem nepochopil co má operátor společného s mým mobilem ani jak mi tu aktualizaci poskytne. To mi pošle nějakou SMS s odkazem? Nebo mě při brouzdání na webu z mobilu přesměruje na nějakou aktualizační stránku? Vždyť ani nemusím mít mobilní internet a můžu používat jenom WiFi. A jak vůbec pozná, že mám chybou postiženého Samsunga? (možná z IMEI???)

19. 6. 2015 9:04
A.S. Pergill (neregistrovaný)

naprosto nepotřebný SW a ještě tak blbě, že to ohrožuje celý telefon. Různé "nápovědy" a "našeptávače" vypínám, protože jen obtěžují a zdržují, případně mažu. Tady vidím, že to tam nacpali takovým způsobem, že ten šmejd ani nejde odstranit.