Aggiornamento 19 giugno: Samsung spiega in dettaglio cosa puoi fare assicurati di ottenere la correzione per l'exploit.
Aggiornamento 18 giugno: Samsung racconta Android Central che sta preparando un aggiornamento di sicurezza che non dovrà attendere un aggiornamento completo del sistema da parte degli operatori.
La tastiera di serie di Samsung - come quella fornita sui suoi telefoni - è oggi oggetto di un pezzo da una società di sicurezza Adesso sicuro che descrive un difetto che ha la possibilità di consentire l'esecuzione del codice in remoto sul telefono. La tastiera integrata di Samsung utilizza l'estensione SwiftKey kit di sviluppo software per previsioni e language pack, ed è qui che è stato trovato l'exploit.
Adesso sicuro ha intitolato l'intera cosa con "Rilevato rischio per la sicurezza della tastiera Samsung: oltre 600 milioni di dispositivi in tutto il mondo interessati". È roba che fa paura. (Soprattutto quando include sfondi rosso vivo e immagini dall'aspetto spaventoso di ciò che generalmente è noto come un volto morto.)
Verizon offre Pixel 4a per soli $ 10 / mese sulle nuove linee Unlimited
Quindi devi preoccuparti? Probabilmente no. Analizziamolo.
La prima cosa è la prima: ci è stato confermato che stiamo parlando della tastiera di serie di Samsung sul Galaxy S6, Galaxy S5, Galaxy S4 e GS4 Mini - e non la versione di SwiftKey che puoi scaricare da Google Play o dall'App Store di Apple. Queste sono due cose molto diverse. (E se non stai usando un telefono Samsung, ovviamente niente di tutto questo si applica a te comunque.)
Abbiamo contattato SwiftKey, che ci ha fornito la seguente dichiarazione:
Abbiamo visto segnalazioni di un problema di sicurezza relativo alla tastiera originale Samsung che utilizza SwiftKey SDK. Possiamo confermare che l'app SwiftKey Keyboard disponibile tramite Google Play o l'App Store di Apple non è interessata da questa vulnerabilità. Prendiamo molto seriamente le segnalazioni in questo modo e stiamo attualmente indagando ulteriormente.
Abbiamo anche contattato Samsung all'inizio della giornata, ma non abbiamo ancora ricevuto alcun commento. Aggiorneremo se e quando ne avremo uno.
Leggendo NowSecure's blog tecnico sull'exploit possiamo avere un'idea di cosa sta succedendo. (Se lo leggi da solo, tieni presente che dove dicono "Swift" significano "SwiftKey".) Se sei connesso a un punto di accesso non sicuro (come una rete Wifi aperta), è possibile che qualcuno intercettare e alterare i language pack di SwiftKey durante l'aggiornamento (cosa che periodicamente fanno per ovvie ragioni: previsione migliorata e cosa no), inviando i dati del telefono dal aggressori.
Essere in grado di cavarsela è un male. Ma, ancora una volta, dipende in primo luogo dal fatto che tu sia su una rete non sicura (cosa che in realtà non dovresti essere: evita gli hotspot pubblici che non utilizzano la sicurezza wireless o considera una VPN). E qualcuno che è lì per fare qualcosa di nefasto in primo luogo.
E dipende dal fatto che tu abbia un dispositivo senza patch. Come Adesso sicuro stessa sottolinea, Samsung ha già presentato le patch ai vettori. Non ha idea di quanti abbiano applicato la patch o, in definitiva, di quanti dispositivi siano ancora vulnerabili.
Queste sono molte variabili e incognite che alla fine si sommano a un altro exploit accademico (al contrario di uno che ha implicazioni nel mondo reale) che a (ed è stato) patchato, anche se sottolinea l'importanza degli operatori che controllano gli aggiornamenti ai telefoni negli Stati Uniti per ottenere aggiornamenti più diffusi velocemente.
Aggiornamento 17 giugno: SwiftKey, in un post sul blog, dice:
Forniamo a Samsung la tecnologia di base che alimenta le previsioni di parole nella loro tastiera. Sembra che il modo in cui questa tecnologia è stata integrata sui dispositivi Samsung ha introdotto la vulnerabilità di sicurezza. Stiamo facendo tutto il possibile per supportare il nostro partner di lunga data Samsung nei loro sforzi per risolvere questo oscuro ma importante problema di sicurezza.
La vulnerabilità in questione presenta un basso rischio: un utente deve essere connesso a una rete compromessa (come un file rete Wi-Fi pubblica contraffatta), dove un hacker con gli strumenti giusti ha specificamente inteso ottenere l'accesso al proprio dispositivo. Questo accesso è quindi possibile solo se la tastiera dell'utente sta effettuando un aggiornamento della lingua in quel momento specifico, mentre è connessa alla rete compromessa.
Hai ascoltato il podcast Android Central di questa settimana?
Ogni settimana, Android Central Podcast ti offre le ultime notizie tecnologiche, analisi e hot take, con co-host familiari e ospiti speciali.
- Iscriviti in Pocket Casts: Audio
- Iscriviti su Spotify: Audio
- Iscriviti in iTunes: Audio
Potremmo guadagnare una commissione per gli acquisti utilizzando i nostri link. Per saperne di più.
Questi sono i migliori auricolari wireless che puoi acquistare ad ogni prezzo!
I migliori auricolari wireless sono comodi, hanno un suono eccezionale, non costano troppo e stanno facilmente in tasca.
Tutto ciò che devi sapere sulla PS5: data di uscita, prezzo e altro.
Sony ha ufficialmente confermato che sta lavorando su PlayStation 5. Ecco tutto ciò che sappiamo finora.
Nokia lancia due nuovi telefoni Android One economici a meno di $ 200.
Nokia 2.4 e Nokia 3.4 sono le ultime aggiunte alla gamma di smartphone economici di HMD Global. Poiché sono entrambi dispositivi Android One, è garantito che riceveranno due importanti aggiornamenti del sistema operativo e aggiornamenti di sicurezza regolari per un massimo di tre anni.
Proteggi la tua casa con questi campanelli e serrature SmartThings.
Una delle cose migliori di SmartThings è che puoi utilizzare una serie di altri dispositivi di terze parti sul tuo sistema, campanelli e serrature inclusi. Poiché condividono tutti essenzialmente lo stesso supporto SmartThings, ci siamo concentrati su quali dispositivi hanno le migliori specifiche e trucchi per giustificare l'aggiunta al tuo arsenale di SmartThings.