Update 19. Juni: Samsung hat detailliert beschrieben, wie Sie sicherstellen können, dass Sie die Fehlerbehebung für den Exploit erhalten.
Update 18. Juni: Samsung teilt Android Central mit, dass ein Sicherheitsupdate vorbereitet wird, das nicht auf ein vollständiges Systemupdate der Betreiber warten muss.
Samsungs Standardtastatur - wie die, die auf den Handys ausgeliefert wird - ist heute Gegenstand eines Artikels der Sicherheitsfirma NowSecure, in dem ein Fehler beschrieben wird, bei dem es möglich ist, Code remote auf Ihrem Handy auszuführen. Die integrierte Tastatur von Samsung verwendet das SwiftKey-Softwareentwicklungskit für Vorhersage- und Sprachpakete. Hier wurde der Exploit gefunden.
NowSecure hat das Ganze mit dem Titel "Offengelegtes Sicherheitsrisiko für Samsung-Tastaturen: Über 600 Millionen Geräte weltweit betroffen" versehen. Das klingt beängstigend. (Insbesondere, wenn leuchtend rote Hintergründe und beängstigend aussehende Bilder eines allgemein als totes Gesicht bekannten Objekts enthalten sind.)
Müssen Sie sich also Sorgen machen? Wahrscheinlich nicht. Lassen Sie es uns aufschlüsseln.
Das Erste ist: Uns wurde bestätigt, dass es sich um Samsungs Standardtastatur für das Galaxy S6, Galaxy S5, Galaxy S4 und GS4 Mini handelt - und nicht um die Version von SwiftKey, die Sie von Google Play oder dem Apple App Store herunterladen können. Das sind zwei sehr unterschiedliche Dinge. (Und wenn Sie kein Samsung-Telefon verwenden, trifft dies offensichtlich sowieso nicht auf Sie zu.)
Wir haben uns an SwiftKey gewandt, der uns die folgende Aussage gegeben hat:
Wir haben Berichte über ein Sicherheitsproblem im Zusammenhang mit der Samsung-Standardtastatur gesehen, die das SwiftKey SDK verwendet. Wir können bestätigen, dass die über Google Play oder den Apple App Store verfügbare SwiftKey Keyboard-App von dieser Sicherheitsanfälligkeit nicht betroffen ist. Wir nehmen solche Meldungen sehr ernst und recherchieren derzeit weiter.
Wir haben uns auch früher an Samsung gewandt, aber noch keinen Kommentar erhalten. Wir werden aktualisieren, wenn wir eine bekommen.
Wenn wir den technischen Blog von NowSecure über den Exploit lesen, können wir einen Blick darauf werfen, was los ist. (Wenn Sie es selbst lesen, beachten Sie, dass "Swift" die Bezeichnung "SwiftKey" ist.) Wenn Sie mit einem unsicheren Zugangspunkt (z. B. einem offenen Wifi-Netzwerk) verbunden sind, kann jemand abfangen und Änderungen vornehmen die SwiftKey-Sprachpakete, während sie aktualisiert werden (was sie aus offensichtlichen Gründen regelmäßig tun - verbesserte Vorhersage und was nicht) und Ihre Telefondaten von den Angreifern senden.
In der Lage zu sein, das zu huckepack zu nehmen, ist schlecht. Aber es hängt auch davon ab, dass Sie sich in erster Linie in einem unsicheren Netzwerk befinden (was Sie eigentlich nicht sollten - vermeiden Sie öffentliche Hotspots, die keine drahtlose Sicherheit verwenden, oder ziehen Sie ein VPN in Betracht). Und jemand, der da ist, um etwas Schändliches zu tun.
Und es hängt davon ab, ob Sie ein nicht gepatchtes Gerät haben. Wie NowSecure selbst hervorhebt, hat Samsung den Netzbetreibern bereits Patches übermittelt. Es hat nur keine Ahnung, wie viele den Patch gepusht haben oder wie viele Geräte letztendlich noch anfällig sind.
Dies sind viele Variablen und Unbekannte, die letztendlich zu einem anderen akademischen Exploit führen (im Gegensatz zu einem Exploit, der reale Auswirkungen hat), der tatsächlich gepatcht werden muss (und wurde), obwohl er die Bedeutung der von ihm kontrollierten Operatoren unterstreicht Updates für Telefone in den USA, um Updates schneller zu veröffentlichen.
Update 17. Juni: SwiftKey sagt in einem Blogbeitrag:
Wir liefern Samsung die Kerntechnologie, die die Wortvorhersagen auf der Tastatur unterstützt. Es scheint, dass die Art und Weise, wie diese Technologie auf Samsung-Geräten integriert wurde, die Sicherheitslücke verursacht hat. Wir tun alles, um unseren langjährigen Partner Samsung bei der Lösung dieses undurchsichtigen, aber wichtigen Sicherheitsproblems zu unterstützen.
Die fragliche Sicherheitsanfälligkeit stellt ein geringes Risiko dar: Ein Benutzer muss mit einem gefährdeten Netzwerk verbunden sein (z. B. einem gefälschten öffentlichen Wi-Fi-Netzwerk), in dem ein Hacker mit den richtigen Tools gezielt auf sein Gerät zugreifen möchte. Dieser Zugriff ist dann nur möglich, wenn die Tastatur des Benutzers zu diesem bestimmten Zeitpunkt eine Sprachaktualisierung durchführt, während eine Verbindung zum gefährdeten Netzwerk besteht.
