Bezpečnostní díra se do mobilních zařízení Samsungu dostala prostřednictvím technologie pro predikci psaní na klávesnici, kterou Samsung do zařízení předinstaloval. Jde o licencovaný software od britské firmy SwiftKey – nejde však přímo o její aplikaci, ale o SDK, které výrobci mobilů licencuje. Aplikace SwiftKey, která je k dostání v Google Play, ohrožená není a jejím odinstalováním problém rozhodně nevyřešíte.
A nevyřešíte jej ani žádným další způsobem – opravný patch totiž musí přijít od vašeho operátora. Bezpečnostní firma NowSecure, která chybu objevila, o ní už loni v listopadu řekla Samsungu. Ten podle svého vyjádření začátkem letošního roku poskytl operátorům opravný patch. Jenže, jak se ukázalo, zdaleka ne všichni jej do telefonů skutečně odeslali.
Podle odhadů NowSecure přitom může být potenciálně zranitelných více než 600 milionů zařízení – počínaje modelem Galaxy S4 Mini až po současný nejvyšší model Galaxy S6.
Pozor na nebezpečné wifi
Chyba teoreticky dává útočníkům přístup k GPS, kamerám i mikrofonu mobilního zařízení, včetně toho, že mohou odposlouchávat příchozí i odchozí hovory a instalovat do zařízení svůj software.
Podle NowSecure je problém v tom, že klávesnicový software je podepsán soukromým klíčem Samsungu, takže v telefonu může fungovat s vyššími právy než jiný software. Klávesnice má přitom mechanismus, který do ní umožňuje přidávat nové jazykové balíčky. A pokud útočník dokáže tato data změnit, má bránu do telefonu otevřenou.
Není to samozřejmě tak jednoduché – aby útočník mohl chybu zneužít, musí být zároveň schopný pozměnit data, která do telefonu či tabletu přicházejí. Musí tedy být například připojen ke stejné wi-fi síti (nebo uživatele zmanipulovat tak, aby se připojil k jeho AP), případně přesměrovat připojení prostřednictvím DNS Hijacking a dalších technik.
Hlavním bezpečnostním opatřením ze strany uživatelů tak je nepřipojovat se k nezabezpečeným a neznámým wifi sítím (což je riskantní tak jako tak). Další technické podrobnosti o chybě najdete zde.
Samsung podle vyjádření SwiftKey slíbil, že během několika dnů vydá opravný patch také prostřednictvím svého systému KNOX.
