עדכון 19 ביוני: סמסונג פירט מה אתה יכול לעשות כדי לוודא שאתה מקבל את התיקון לניצול.
עדכון 18 ביוני: סמסונג אומרת ל- Android Central שהיא מכינה עדכון אבטחה שלא יצטרך לחכות עדכון מערכת מלא של המפעילים.
מקלדת המניות של סמסונג - כמו זו שנשלחת בטלפונים שלה - הנושא היום של קטע של חברת האבטחה NowSecure המפרט פגם שיש בו אפשרות לאפשר ביצוע קוד מרחוק בטלפון שלך. המקלדת המובנית של סמסונג משתמשת בערכת פיתוח התוכנה SwiftKey לחבילות חיזוי ושפה, וכאן נמצא הניצול.
NowSecure כותרת על כל העניין עם "סיכוני אבטחת המקלדת של סמסונג מוסרים: יותר מ- 600 מיליון מכשירים ברחבי העולם מושפעים." זה דברים שמפחידים. (במיוחד כאשר הוא כולל רקע אדום בוהק ותמונות מפחידות למראה של מה שמכונה בדרך כלל פנים מתות.)
אז אתה צריך לדאוג? כנראה שלא. בואו נשבר את זה.
הדבר הראשון הראשון: אושר לנו שאנחנו מדברים על מקלדת המניות של סמסונג ב- Galaxy S6, Galaxy S5, Galaxy S4 ו- GS4 Mini - ולא על הגרסה של SwiftKey שתוכל להוריד מגוגל פליי או מחנות האפליקציות של אפל.. אלה שני דברים שונים מאוד. (ואם אינך משתמש בטלפון סמסונג, ברור ששום דבר מכל זה אינו תקף לך.)
הושטנו יד אל SwiftKey, שהעניקה לנו את ההצהרה הבאה:
ראינו דיווחים על בעיית אבטחה הקשורה למקלדת המניות של סמסונג המשתמשת ב- SwiftKey SDK. אנו יכולים לאשר כי אפליקציית המקלדת SwiftKey הזמינה דרך Google Play או Apple App Store אינה מושפעת מפגיעות זו. אנו מתייחסים ברצינות רבה לדיווחים על דרך זו וכעת אנו חוקרים את המשך הדברים.
פנינו גם לסמסונג מוקדם יותר היום אך טרם קיבלנו תגובה. נעדכן אם וכשנקבל אחת כזו.
בקריאת הבלוג הטכני של NowSecure על הניצול אנו יכולים לקבל הצצה למתרחש. (אם אתה קורא את זה בעצמך, שים לב שבמקום שהם אומרים "סוויפט" הם מתכוונים "SwiftKey.") אם אתה מחובר לנקודת גישה לא מאובטחת (כמו רשת Wifi פתוחה), מישהו יכול ליירט ולשנות שפות SwiftKey מתארכות בזמן שהם מתעדכנים (מה שהם עושים מדי פעם מסיבות ברורות - שיפור התחזית ומה לא), שליחת נתוני הטלפון שלך מהתוקפים.
היכולת לבצע פיגיבק זה רע. אבל, שוב, זה תלוי בכך שאתה נמצא ברשת לא מאובטחת מלכתחילה (מה שאתה באמת לא אמור להיות - הימנע מנקודות חמות ציבוריות שאינן משתמשות באבטחה אלחוטית, או מחשיבים VPN). ומישהו שנמצא שם בכדי לעשות משהו מלוכלך מלכתחילה.
וזה תלוי שיש לך מכשיר שלא הועלה עליו. כפי ש- NowSecure עצמה מציינת, הטלאים של סמסונג כבר הגישו לספקים. אין לו שום מושג כמה דחפו את התיקון, או בסופו של דבר כמה מכשירים נשארים פגיעים.
אלה הם המון משתנים ואלמונים שבסופו של דבר מסתכמים בניצול אקדמי אחר (בניגוד לאחד שיש לו השלכות על העולם האמיתי) שאכן צריך לתקן (ואף טופל), אם כי זה מדגיש את חשיבות המפעילים השולטים עדכונים לטלפונים בארה"ב כדי לקבל עדכונים במהירות רבה יותר.
עדכון 17 ביוני: SwiftKey, בפוסט בבלוג, אומר:
אנו מספקים לסמסונג את טכנולוגיית הליבה המפעילה את תחזיות המילים במקלדת שלהם. נראה כי האופן בו שילבה טכנולוגיה זו במכשירי סמסונג הציג את פגיעות האבטחה. אנו עושים הכל כדי לתמוך בבן זוגנו סמסונג הוותיק במאמציהם לפתור את נושא האבטחה המעורפל אך החשוב הזה.
הפגיעות המדוברת מהווה סיכון נמוך: על המשתמש להיות מחובר לרשת נפגעת (כמו רשת Wi-Fi ציבורית מזויפת), שם האקר עם הכלים הנכונים נועד באופן ספציפי לקבל גישה למכשיר שלהם. גישה זו אפשרית אז רק אם המקלדת של המשתמש מבצעת עדכון שפה באותו זמן ספציפי, בזמן שהיא מחוברת לרשת שנפגעה.
