Oppdatering 19. juni: Samsung har detaljert hva du kan gjøre for sørg for at du får løsningen for utnyttelsen.
Oppdater 18. juni: Forteller Samsung Android Central at den forbereder en sikkerhetsoppdatering som ikke trenger å vente på en fullstendig systemoppdatering fra operatørene.
Samsungs aksjetastatur - som i det som sendes på telefonene - er i dag gjenstand for et stykke fra sikkerhetsfirmaet NåSikker som beskriver en feil som har muligheten til å tillate at kode utføres eksternt på telefonen din. Samsungs innebygde tastatur bruker SwiftKey programvareutviklingssett for prediksjon og språkpakker, og det var der utnyttelsen ble funnet.
NåSikker har overskriften hele saken med "Samsung Keyboard Security Risk Disclosed: Over 600M + Devices Worldwide Impacted." Det er skummelt. (Spesielt når det inkluderer knallrøde bakgrunner og skummelt utseende av det som vanligvis er kjent som et dødt ansikt.)
Verizon tilbyr Pixel 4a for bare $ 10 per måned på nye ubegrensede linjer
Så trenger du å bekymre deg? Sannsynligvis ikke. La oss bryte det ned.
Første ting er det første: Det er blitt bekreftet for oss at vi snakker om Samsungs aksjetastatur på Galaxy S6, Galaxy S5, Galaxy S4 og GS4 Mini - og ikke versjonen av SwiftKey som du kan laste ned fra Google Play eller Apple App Store. Det er to veldig forskjellige ting. (Og hvis du ikke bruker en Samsung-telefon, gjelder selvsagt ikke noe av dette for deg uansett.)
Vi nådde ut til SwiftKey, som ga oss følgende uttalelse:
Vi har sett rapporter om et sikkerhetsproblem knyttet til Samsung-tastaturet som bruker SwiftKey SDK. Vi kan bekrefte at SwiftKey Keyboard-appen som er tilgjengelig via Google Play eller Apple App Store ikke påvirkes av dette sikkerhetsproblemet. Vi tar rapporter om denne måten veldig alvorlig og undersøker for øyeblikket nærmere.
Vi nådde også ut til Samsung tidligere på dagen, men har ennå ikke mottatt noen kommentar. Vi oppdaterer om og når vi får en.
Lese gjennom NowSecure's teknisk blogg om utnyttelsen vi kan få et glimt av hva som skjer. (Hvis du leser det selv, vær oppmerksom på at der de sier "Swift" betyr de "SwiftKey.") Hvis du er koblet til et usikkert tilgangspunkt (for eksempel et åpent Wifi-nettverk), er det mulig for noen å fange opp og endre SwiftKey språkpakker når de oppdateres (noe de med jevne mellomrom gjør av åpenbare grunner - forbedret prediksjon og hva ikke), og sender telefondataene dine fra angripere.
Det å være piggyback er dårlig. Men igjen, det er avhengig av at du er i et usikkert nettverk i utgangspunktet (som du egentlig ikke burde være - unngå offentlige hotspots som ikke bruker trådløs sikkerhet, eller vurder VPN). Og noen som er der for å gjøre noe skumle i utgangspunktet.
Og det avhenger av at du har en enhet som ikke er oppdatert. Som NåSikker selv påpeker, Samsungs allerede sendte oppdateringer til transportørene. Det aner bare ikke hvor mange som har presset oppdateringen, eller til slutt hvor mange enheter som fortsatt er sårbare.
Det er mange variabler og ukjente som til slutt legger opp til en annen akademisk utnyttelse (i motsetning til en som har virkelige implikasjoner) som faktisk trenger til (og har blitt) lappet, selv om det understreker viktigheten av operatørene som kontrollerer oppdateringer til telefoner i USA for å få oppdateringer presset ut mer raskt.
Oppdater 17. juni: SwiftKey, i et blogginnlegg, sier:
Vi forsyner Samsung med kjerneteknologien som driver ordspådommene på tastaturet. Det ser ut til at måten teknologien ble integrert på Samsung-enheter innførte sikkerhetsproblemet. Vi gjør alt vi kan for å støtte vår mangeårige partner Samsung i deres forsøk på å løse dette uklare, men viktige sikkerhetsproblemet.
Det aktuelle sikkerhetsproblemet utgjør en lav risiko: en bruker må være koblet til et kompromittert nettverk (som f.eks falske offentlige Wi-Fi-nettverk), der en hacker med de riktige verktøyene spesielt har ment å få tilgang til sitt enhet. Denne tilgangen er da bare mulig hvis brukerens tastatur gjennomfører en språkoppdatering på det bestemte tidspunktet mens den er koblet til det kompromitterte nettverket.
Har du lyttet til denne ukens Android Central Podcast?
Hver uke gir Android Central Podcast deg de siste tekniske nyhetene, analysene og hot-takene, med kjente medvert og spesielle gjester.
- Abonner i Pocket Cast: Lyd
- Abonner i Spotify: Lyd
- Abonner i iTunes: Lyd
Vi kan tjene en provisjon for kjøp ved hjelp av linkene våre. Lære mer.
Dette er de beste trådløse øreproppene du kan kjøpe til enhver pris!
De beste trådløse ørepluggene er komfortable, høres bra ut, koster ikke for mye og passer lett i lommen.
Alt du trenger å vite om PS5: Utgivelsesdato, pris og mer.
Sony har offisielt bekreftet at de jobber med PlayStation 5. Her er alt vi vet om det så langt.
Nokia lanserer to nye budsjett Android One-telefoner under $ 200.
Nokia 2.4 og Nokia 3.4 er de siste tilskuddene til HMD Globals budsjett for smarttelefoner. Siden de begge er Android One-enheter, vil de garantert motta to store OS-oppdateringer og vanlige sikkerhetsoppdateringer i opptil tre år.
Sikre hjemmet ditt med disse SmartThings-dørklokkene og låsene.
En av de beste tingene med SmartThings er at du kan bruke en rekke andre tredjepartsenheter på systemet ditt, inkludert dørklokker og låser. Siden de i det vesentlige deler den samme SmartThings-støtten, har vi fokusert på hvilke enheter som har de beste spesifikasjonene og triksene for å rettferdiggjøre å legge dem til SmartThings-arsenalet ditt.