Даследчык бяспекі выявіў памылку праграмнага забеспячэння ў клавіятуры Samsung па змаўчанні, якая падвяргае больш за 600 мільёнаў смартфонаў магчымай рызыцы ўзлому. Раян Уэлтан з NowSecure падрабязна апісаў уразлівасць клавіятуры SwiftKey, прадусталяванай у мільёнах тэлефонаў Samsung. Пошук моўных пакетаў у выглядзе абнаўленняў і іх загрузка не адбываецца праз зашыфраванае злучэнне, а адпраўляецца толькі ў выглядзе звычайнага тэксту.
Такім чынам Welton змог выкарыстаць гэтую ўразлівасць, стварыўшы падроблены проксі-сервер і адправіўшы шкоднасны код на ўразлівую прыладу разам з праверкай даных, якая гарантавала захаванне шкоднаснага кода на прыладзе. Як толькі Уэлтан атрымаў доступ да ўзламаных мабільных тэлефонаў, ён мог неадкладна пачаць выкарыстоўваць прылады без іх каб карыстальнік ведаў пра гэта. Калі б зламыснік выкарыстаў недахоп бяспекі, ён мог бы скрасці канфідэнцыяльныя даныя, у тым ліку тэкставыя паведамленні, кантакты, паролі або лагіны да банкаўскіх рахункаў. Не кажучы ўжо пра тое, што памылка таксама можа выкарыстоўвацца для адсочвання карыстальнікаў.
Samsung ужо каментаваў згаданую праблему ў лістападзе мінулага года і сцвярджаў, што гэтая памылка будзе выпраўлена на прыладах з Androidom 4.2 або пазней у сакавіку гэтага года. У любым выпадку, NowSecure кажа, што недахоп усё яшчэ існуе, і Уэлтан прадэманстраваў яго на Лонданскім саміце па бяспецы на смартфонах Galaxy S6 ад Verizon і тым самым зноў прыцягнуў да яго ўвагу.
Эндру Хуг з NowSecure лічыць, што недахоп можна выкарыстоўваць на некаторых ключавых і адносна новых прыладах, такіх як Galaxy Заўвага 3, Заўвага 4, Galaxy S3, S4, S5 і гэтак далей Galaxy S6 і S6 край. Пра гэта варта падумаць, таму што Велтан кажа, што нават калі карыстальнік не выкарыстоўвае клавіятуру Samsung, усё роўна існуе рызыка злоўжывання і крадзяжу канфідэнцыйных даных, таму што клавіятуру нельга выдаліць.
Пакуль Samsung не выпусціць афіцыйнае выпраўленне, Велтан рэкамендуе ўладальнікам смартфонаў Galaxy вельмі асцярожныя пры выкарыстанні іх у адкрытых сетках WiFi, якія яны не распазнаюць, каб мінімізаваць верагоднасць атакі. Патэнцыйны хакер павінен знаходзіцца ў той жа сетцы, што і карыстальнік смартфона, каб скрасці дадзеныя. Аддаленае злоўжыванне было б магчымым толькі шляхам захопу DNS-сервера, які б утрымліваў дадзеныя з аддаленага маршрутызатара, што, на шчасце, таксама няпроста.
Кампанія Samsung не каментуе бягучую сітуацыю.
*Крыніца: SamMobile
