Update 19 juni: Samsung geeft gedetailleerd weer wat u kunt doen om ervoor te zorgen dat u de oplossing voor de exploit krijgt.
Update 18 juni: Samsung vertelt Android Central dat het een beveiligingsupdate voorbereidt die niet hoeft te wachten op een volledige systeemupdate van de operators.
Het stock-toetsenbord van Samsung - zoals het toetsenbord dat op zijn telefoons wordt geleverd - is vandaag het onderwerp van een stuk van beveiligingsbedrijf NowSecure dat een fout beschrijft met de mogelijkheid om code op afstand op uw telefoon uit te voeren. Het ingebouwde toetsenbord van Samsung gebruikt de SwiftKey-softwareontwikkelingskit voor voorspelling en taalpakketten, en dat is waar de exploit werd gevonden.
NowSecure heeft de kop in de kop gezet met "Samsung-toetsenbordbeveiligingsrisico bekendgemaakt: meer dan 600 miljoen apparaten wereldwijd beïnvloed." Dat is eng klinkende dingen. (Vooral als het felrode achtergronden en eng uitziende afbeeldingen bevat van wat algemeen bekend staat als een dood gezicht.)
Dus moet je je zorgen maken? Waarschijnlijk niet. Laten we het afbreken.
Eerst en vooral: het is ons bevestigd dat we het hebben over het stock-toetsenbord van Samsung op de Galaxy S6, Galaxy S5, Galaxy S4 en GS4 Mini - en niet de versie van SwiftKey die u kunt downloaden van Google Play of de Apple App Store. Dat zijn twee heel verschillende dingen. (En als u geen Samsung-telefoon gebruikt, is dit uiteraard sowieso niet op u van toepassing.)
We namen contact op met SwiftKey, die ons de volgende verklaring gaf:
We hebben meldingen gezien van een beveiligingsprobleem met betrekking tot het Samsung stock-toetsenbord dat de SwiftKey SDK gebruikt. We kunnen bevestigen dat de SwiftKey Keyboard-app die beschikbaar is via Google Play of de Apple App Store niet door dit beveiligingslek wordt getroffen. We nemen meldingen over deze manier zeer serieus en onderzoeken dit momenteel verder.
We hebben eerder op de dag ook contact opgenomen met Samsung, maar we hebben nog geen commentaar ontvangen. We zullen updaten als en wanneer we er een krijgen.
Door de technische blog van NowSecure over de exploit te lezen, kunnen we een glimp opvangen van wat er aan de hand is. (Als je het zelf leest, houd er dan rekening mee dat waar ze "Swift" zeggen, "SwiftKey" betekent.) Als je verbonden bent met een onveilig toegangspunt (zoals een open wifi-netwerk), is het mogelijk dat iemand onderschept en gewijzigd de SwiftKey-taalpakketten tijdens het updaten (wat ze periodiek doen om voor de hand liggende redenen - verbeterde voorspelling en wat niet), waardoor uw telefoongegevens van de aanvallers worden verzonden.
In staat zijn om te meeliften dat is slecht. Maar nogmaals, het is afhankelijk van dat u zich in de eerste plaats op een onbeveiligd netwerk bevindt (wat u eigenlijk niet zou moeten zijn - vermijd openbare hotspots die geen draadloze beveiliging gebruiken of overweeg een VPN). En er is iemand die in de eerste plaats iets snode doet.
En het hangt ervan af of u een niet-gepatcht apparaat heeft. Zoals NowSecure zelf aangeeft, heeft Samsung al patches ingediend bij de providers. Het heeft gewoon geen idee hoeveel de patch heeft gepusht, of uiteindelijk hoeveel apparaten kwetsbaar blijven.
Dat zijn veel variabelen en onbekenden die uiteindelijk optellen voor een andere academische exploit (in tegenstelling tot een die real-world implicaties heeft) die inderdaad moet (en is gepatcht), hoewel het het belang van de operatoren die controleren, onderstreept updates voor telefoons in de VS om updates sneller te verwijderen.
Update 17 juni: SwiftKey zegt in een blogpost:
We leveren Samsung de kerntechnologie die de woordvoorspellingen op hun toetsenbord mogelijk maakt. Het lijkt erop dat de manier waarop deze technologie op Samsung-apparaten is geïntegreerd, het beveiligingslek met zich meebracht. We doen er alles aan om onze jarenlange partner Samsung te ondersteunen bij hun inspanningen om dit obscure maar belangrijke beveiligingsprobleem op te lossen.
De kwetsbaarheid in kwestie vormt een laag risico: een gebruiker moet verbonden zijn met een gecompromitteerd netwerk (zoals een vervalst openbaar Wi-Fi-netwerk), waarbij een hacker met de juiste tools specifiek bedoeld is om toegang te krijgen tot zijn apparaat. Deze toegang is dan alleen mogelijk als het toetsenbord van de gebruiker op dat moment een taalupdate uitvoert terwijl hij is verbonden met het gecompromitteerde netwerk.
