Opdatering 19. juni: Samsungs detaljerede, hvad du kan gøre for Sørg for, at du får løsningen på udnyttelsen.
Opdatering 18. juni: Fortæller Samsung Android Central at den forbereder en sikkerhedsopdatering, der ikke behøver at vente på en fuld systemopdatering fra operatørerne.
Samsungs aktietastatur - som i det, der sendes på sine telefoner - er i dag genstand for et stykke fra sikkerhedsfirmaet NuSikker der beskriver en fejl, der har mulighed for at lade kode udføres eksternt på din telefon. Samsungs indbyggede tastatur bruger SwiftKey softwareudviklingssæt til forudsigelse og sprogpakker, og det er her, udnyttelsen blev fundet.
NuSikker har overskriften det hele med "Samsung Keyboard Security Risk Disclosed: Over 600M + Devices Worldwide Impacted." Det er skræmmende klingende ting. (Især når det inkluderer lyse røde baggrunde og skræmmende billeder af det, der generelt er kendt som et dødt ansigt.)
Verizon tilbyder Pixel 4a for kun $ 10 / mo på nye ubegrænsede linjer
Så har du brug for at bekymre dig? Sikkert ikke. Lad os nedbryde det.
Første ting er første: Det er blevet bekræftet over for os, at vi taler om Samsungs aktietastatur på Galaxy S6, Galaxy S5, Galaxy S4 og GS4 Mini - og ikke den version af SwiftKey, som du kan downloade fra Google Play eller Apple App Store. Det er to meget forskellige ting. (Og hvis du ikke bruger en Samsung-telefon, gælder naturligvis intet af dette alligevel for dig.)
Vi nåede ud til SwiftKey, som gav os følgende erklæring:
Vi har set rapporter om et sikkerhedsproblem relateret til Samsung-tastaturet, der bruger SwiftKey SDK. Vi kan bekræfte, at SwiftKey Keyboard-appen, der er tilgængelig via Google Play eller Apple App Store, ikke påvirkes af denne sårbarhed. Vi tager rapporter om denne måde meget alvorligt og undersøger i øjeblikket yderligere.
Vi nåede også ud til Samsung tidligere på dagen, men har endnu ikke modtaget nogen kommentar. Vi opdaterer, hvis og når vi får en.
Læser igennem Nu er det sikkert teknisk blog om udnyttelsen vi kan få et glimt af, hvad der foregår. (Hvis du selv læser det, skal du være opmærksom på, at hvor de siger "Swift" betyder de "SwiftKey.") Hvis du har forbindelse til et usikkert adgangspunkt (f.eks. Et åbent Wifi-netværk), er det muligt for nogen at opfange og ændre SwiftKey-sprogpakkerne, når de opdateres (hvilket de med jævne mellemrum gør af åbenlyse grunde - forbedret forudsigelse og hvad ikke) og sender dine telefondata fra angribere.
At være i stand til piggyback er dårligt. Men igen afhænger det af, at du i første omgang er på et usikkert netværk (som du virkelig ikke burde være - undgå offentlige hotspots, der ikke bruger trådløs sikkerhed, eller overvej en VPN). Og nogen er der for at gøre noget ondskabsfuldt i første omgang.
Og det afhænger af, at du har en ikke-patchet enhed. Som NuSikker selv påpeger, Samsungs allerede indsendte patches til transportørerne. Det har bare ingen idé om, hvor mange der har skubbet plasteret, eller i sidste ende, hvor mange enheder der stadig er sårbare.
Disse er mange variabler og ukendte, der i sidste ende tilføjer en anden akademisk udnyttelse (i modsætning til en, der har virkninger fra den virkelige verden), der faktisk har brug for til (og er blevet) patched, selvom det understreger vigtigheden af de operatører, der styrer opdateringer til telefoner i USA for at få opdateringer skubbet ud mere hurtigt.
Opdatering 17. juni: SwiftKey, i et blogindlæg, siger:
Vi forsyner Samsung med kerneteknologien, der styrker ordforudsigelserne på deres tastatur. Det ser ud til, at den måde, hvorpå denne teknologi blev integreret på Samsung-enheder, introducerede sikkerhedssårbarheden. Vi gør alt, hvad vi kan, for at støtte vores mangeårige partner Samsung i deres bestræbelser på at løse dette uklare, men vigtige sikkerhedsproblem.
Den pågældende sårbarhed udgør en lav risiko: en bruger skal være forbundet til et kompromitteret netværk (såsom en spoofed public Wi-Fi network), hvor en hacker med de rigtige værktøjer specifikt har til hensigt at få adgang til deres enhed. Denne adgang er derefter kun mulig, hvis brugerens tastatur foretager en sprogopdatering på det specifikke tidspunkt, mens den er tilsluttet det kompromitterede netværk.
Har du lyttet til denne uges Android Central Podcast?
Hver uge bringer Android Central Podcast dig de seneste tekniske nyheder, analyser og hot take med kendte co-værter og specielle gæster.
- Abonner i Pocket Cast: Lyd
- Abonner i Spotify: Lyd
- Abonner i iTunes: Lyd
Vi tjener muligvis en provision for køb ved hjælp af vores links. Lær mere.
Dette er de bedste trådløse øretelefoner, du kan købe til enhver pris!
De bedste trådløse øretelefoner er komfortable, lyder godt, koster ikke for meget og passer let i lommen.
Alt hvad du behøver at vide om PS5: Udgivelsesdato, pris og mere.
Sony har officielt bekræftet, at de arbejder på PlayStation 5. Her er alt, hvad vi ved om det hidtil.
Nokia lancerer to nye budget Android One-telefoner under $ 200.
Nokia 2.4 og Nokia 3.4 er de seneste tilføjelser til HMD Globals budget-smartphone-sortiment. Da de begge er Android One-enheder, modtager de garanteret to store OS-opdateringer og regelmæssige sikkerhedsopdateringer i op til tre år.
Beskyt dit hjem med disse SmartThings dørklokker og låse.
En af de bedste ting ved SmartThings er, at du kan bruge en række andre tredjepartsenheder på dit system, dørklokker og låse inkluderet. Da de alle i det væsentlige deler den samme SmartThings-support, har vi fokuseret på, hvilke enheder der har de bedste specifikationer og tricks til at retfærdiggøre at tilføje dem til dit SmartThings-arsenal.