Až 600 miliónov telefónov značky Samsung je citlivých na útoky, ktoré umožňujú hackerom tajne sledovať kameru a mikrofón, čítať prichádzajúce a odchádzajúce textové správy a inštalovať škodlivé aplikácie.
Bezpečnostná spoločnosť SecureNow upozornila na zraniteľnosť nachádzajúcu sa na virtuálnej klávesnici Samsung IME, čo je vlastná verzia klávesnice SwiftKey, ktorá je predinštalovaná na mnohých telefónoch juhokórejského výrobcu a nemožno ju vypnúť ani odinštalovať.
Chyba sa konkrétne týka mechanizmu jej aktualizácie. Vzdialený útočník môže riadiť sieťovú prevádzku používateľa, manipulovať s aktualizačným mechanizmom a spustiť ním zvolený kód na získanie oprávnenia privilegovaného používateľa na cieľovom telefóne (nejde však o používateľa root, ale system). Nevyžaduje sa na to interakcia s používateľom, ten nemusí explicitne zvoliť stiahnutie aktualizácie languagePack, ktorej sa zraniteľnosť týka.
Postihnuté sú zariadenia z radu Galaxy, okrem iných ide o Galaxy S6, S5, S4, S4 Mini, kompletný zoznam však nie je dostupný. Samsung v súčasnosti pracuje na aktualizácii pre smartfón Galaxy S4 z roku 2013 a novšie modely od neho. Aktualizácia by mala byť sprístupnená v priebehu niekoľkých dní.
Tieto zariadenia totiž majú nainštalovanú bezpečnostnú platformu Samsung Knox a môžu byť aktualizované priamo vzduchom. Užívatelia však musia mať vo svojich mobiloch zapnuté automatické aktualizácie. Pre tých, ktorí telefóny s platformou Knox nemajú, Samsung pripravuje rozsiahlejšiu aktualizáciu firmwaru. Jej dostupnosť bude závisieť od modelu smartfónu, regiónu a operátora.
Proti originálnej klávesnici SwiftKey, ktorú možno stiahnuť z Google Play, sa nedá použiť tento typ útoku. Problém sa týka len predinštalovanej klávesnice na zariadeniach Samsungu. Používatelia nemajú veľa možností na ochranu, môžu sa však vyhnúť používaniu nezabezpečených sietí Wi-Fi.
Hoci Samsung bol na zraniteľnosť upozornený podľa vyjadrenia SecureNow ešte v decembri minulého roka, chyba je stále prítomná aj na zariadeniach predávaných v súčasnosti.
zdroj:itnews.sk