Aktualizace 19. června: Samsung podrobně popisuje, co můžete udělat ujistěte se, že máte opravu zneužití.
Aktualizace 18. června: Říká Samsung Android Central že připravuje aktualizaci zabezpečení, která nebude muset čekat na úplnou aktualizaci systému od operátorů.
Akciová klávesnice společnosti Samsung - stejně jako ta, která se dodává na jejích telefonech - je dnes předmětem kousku od bezpečnostní firmy NowSecure podrobně popisuje chybu, která má možnost umožnit vzdálené spuštění kódu v telefonu. Integrovaná klávesnice Samsung používá SwiftKey sada pro vývoj softwaru pro predikci a jazykové balíčky, a právě tam bylo zjištěno zneužití.
NowSecure vytyčil nadpis celé záležitosti „Zveřejněno bezpečnostní riziko Samsung Keyboard: Přes 600 miliónů celosvětově ovlivněných zařízení.“ To je děsivě znějící věc. (Zvláště pokud obsahuje jasně červené pozadí a děsivě vypadající obrázky toho, co je obecně známé jako mrtvý obličej.)
Verizon nabízí Pixel 4a za pouhých 10 $ / měsíc na nových linkách Unlimited
Takže si musíte dělat starosti? Asi ne. Pojďme to rozebrat.
První věc je první: Potvrdilo se nám, že mluvíme o akciové klávesnici Samsung na Galaxy S6, Galaxy S5, Galaxy S4 a GS4 Mini - a ne verze SwiftKey, kterou si můžete stáhnout z Google Play nebo Apple App Store. To jsou dvě velmi odlišné věci. (A pokud nepoužíváte telefon Samsung, samozřejmě se vás nic z toho netýká.)
Natáhli jsme se k SwiftKey, který nám dal následující prohlášení:
Viděli jsme zprávy o bezpečnostním problému souvisejícím s akční klávesnicí Samsung, která používá sadu SwiftKey SDK. Můžeme potvrdit, že aplikace SwiftKey Keyboard dostupná prostřednictvím Google Play nebo Apple App Store není touto chybou zabezpečení ovlivněna. Bereme zprávy o tomto způsobu velmi vážně a v současné době je vyšetřujeme dále.
Společnost Samsung jsme také kontaktovali dříve, ale zatím jsme neobdrželi žádný komentář. Budeme aktualizovat, pokud a kdy nějakou získáme.
Pročítání NowSecure je technický blog o zneužití můžeme zahlédnout, co se děje. (Pokud si to přečtete sami, nezapomeňte, že když řeknou „Swift“, znamenají „SwiftKey.“) Pokud jste připojeni k nezabezpečenému přístupovému bodu (například k otevřené síti Wifi), je možné, aby někdo zachytí a pozmění jazykové sady SwiftKey při jejich aktualizaci (kterou pravidelně dělají ze zřejmých důvodů - lepší predikce a co ne), odesílá data z telefonu z útočníci.
Schopnost na zádech, to je špatné. Opět však záleží na tom, zda jste na prvním místě v nezabezpečené síti (což byste opravdu neměli být - vyhněte se veřejným hotspotům, které nepoužívají bezdrátové zabezpečení, nebo zvažte VPN). A vůbec někdo, kdo je tam, aby udělal něco hanebného.
A záleží na tom, zda máte neopravené zařízení. Tak jako NowSecure sám zdůrazňuje, že již Samsung odeslal opravy dopravcům. Prostě nemá tušení, kolik z nich aktualizaci opravilo, nebo kolik zařízení zůstává zranitelných.
Jedná se o spoustu proměnných a neznámých, které nakonec přispívají k dalšímu akademickému využití (na rozdíl od toho, který má důsledky pro reálný svět), který skutečně potřebuje do (a byl) opraven, i když to podtrhuje důležitost operátorů, kteří kontrolují aktualizace telefonů v USA, aby se aktualizace dostaly více rychle.
Aktualizace 17. června: SwiftKey, v příspěvku na blogu, říká:
Dodáváme Samsungu základní technologii, která ovládá slovní předpovědi v jejich klávesnici. Zdá se, že způsob, jakým byla tato technologie integrována do zařízení Samsung, způsobil chybu zabezpečení. Děláme vše, co je v našich silách, abychom podpořili našeho dlouholetého partnera Samsung v jeho úsilí vyřešit tento nejasný, ale důležitý bezpečnostní problém.
Dotyčná chyba zabezpečení představuje malé riziko: uživatel musí být připojen k ohrožené síti (například a spoofed public Wi-Fi network), kde hacker se správnými nástroji konkrétně zamýšlel získat přístup k nim přístroj. Tento přístup je pak možný pouze v případě, že klávesnice uživatele provádí jazykovou aktualizaci v konkrétním čase, zatímco je připojena k ohrožené síti.
Poslouchali jste tento týden Android Central Podcast?
Každý týden vám Android Central Podcast přináší nejnovější technologické novinky, analýzy a zajímavé záběry se známými hostiteli a speciálními hosty.
- Přihlaste se k odběru v kapesních obsazeních: Zvuk
- Přihlaste se k odběru ve Spotify: Zvuk
- Přihlásit se k odběru v iTunes: Zvuk
Můžeme získat provizi za nákupy pomocí našich odkazů. Zjistěte více.
Jedná se o nejlepší bezdrátová sluchátka, která si můžete koupit za každou cenu!
Nejlepší bezdrátová sluchátka jsou pohodlná, skvěle znějí, nestojí příliš mnoho a snadno se vejdou do kapsy.
Vše, co potřebujete o PS5 vědět: Datum vydání, cena a další.
Společnost Sony oficiálně potvrdila, že pracuje na PlayStation 5. Tady je vše, co o tom zatím víme.
Nokia uvádí na trh dva nové levné telefony Android One s cenou do 200 $.
Nokia 2.4 a Nokia 3.4 jsou nejnovější přírůstky do řady levných smartphonů HMD Global. Jelikož jsou obě zařízení Android One, je zaručeno, že budou dostávat dvě hlavní aktualizace operačního systému a pravidelné aktualizace zabezpečení až na tři roky.
Zabezpečte si svůj domov pomocí těchto zvonků a zámků SmartThings.
Jednou z nejlepších věcí na SmartThings je, že můžete ve svém systému použít spoustu dalších zařízení třetích stran, včetně zvonků a zámků. Vzhledem k tomu, že všichni v zásadě sdílejí stejnou podporu SmartThings, zaměřili jsme se na to, která zařízení mají nejlepší specifikace a triky, aby bylo možné je přidat do vašeho arzenálu SmartThings.