I-update ang Hunyo 19: Detalyado ng Samsung kung ano ang maaari mong gawin upang matiyak na makuha mo ang pag-aayos para sa pagsasamantala.
I-update ang Hunyo 18: Sinasabi ng Samsung sa Android Central na naghahanda ito ng isang pag-update ng seguridad na hindi na kailangang maghintay sa isang buong pag-update ng system mula sa mga operator.
Ang stock keyboard ng Samsung - tulad ng sa isa na nagpapadala sa mga telepono nito - ang paksa ngayon ng isang piraso mula sa security firm NowSecure na detalyado ang isang kapintasan na may posibilidad na payagan ang code na maipatupad nang malayo sa iyong telepono. Ang built-in na keyboard ng Samsung ay gumagamit ng kit para sa pagbuo ng software ng SwiftKey para sa hula at mga pack ng wika, at doon natagpuan ang pagsasamantala.
Ang NowSecure ay pinangungunahan ang buong bagay na may "Samsung Keyboard Security Risk Disclosed: Mahigit sa 600M + Mga Device sa buong mundo na Ginampanan." Nakakatakot na tunog na iyon. (Lalo na kung may kasamang maliwanag na pulang background at nakakatakot na mga imahe ng kung ano sa pangkalahatan ay kilala bilang isang patay na mukha.)
Kaya kailangan mo bang mag-alala? Hindi siguro. Ibagsak natin ito.
Una sa unang bagay: Nakumpirma sa amin na pinag-uusapan namin ang tungkol sa stock keyboard ng Samsung sa Galaxy S6, Galaxy S5, Galaxy S4 at GS4 Mini - at hindi ang bersyon ng SwiftKey na maaari mong i-download mula sa Google Play o sa Apple App Store. Iyon ay dalawang magkaibang magkakaibang bagay. (At kung hindi ka gumagamit ng isang telepono sa Samsung, malinaw naman wala pa rin ang naaangkop sa iyo.)
Inabot namin ang SwiftKey, na nagbigay sa amin ng sumusunod na pahayag:
Nakita namin ang mga ulat ng isang isyu sa seguridad na may kaugnayan sa Samsung stock keyboard na gumagamit ng SwiftKey SDK. Maaari naming kumpirmahin na ang SwiftKey Keyboard app na magagamit sa pamamagitan ng Google Play o ang Apple App Store ay hindi apektado ng kahinaan na ito. Sobrang seryoso namin ang mga ulat ng paraang ito at kasalukuyang iniimbestigahan pa.
Inabot din namin ang Samsung nang mas maaga sa araw ngunit wala pa ring natatanggap na komento. Mag-update kami kung at kailan tayo makakakuha ng isa.
Ang pagbabasa sa pamamagitan ng teknikal na blog ng NowSecure sa pagsasamantala ay makakakuha tayo ng isang sulyap sa kung ano ang nangyayari. (Kung babasahin mo ito sa iyong sarili, tandaan na kung saan sinasabi nila na "Swift" ang ibig sabihin ay "SwiftKey.") Kung nakakonekta ka sa isang hindi ligtas na access point (tulad ng isang bukas na Wifi network), posible para sa isang tao na makagambala at magbago. ang mga pack ng wika ng SwiftKey habang ina-update nila (na pana-panahong ginagawa nila para sa mga halatang kadahilanan - pinahusay na hula at kung ano ang hindi), ipinadala ang iyong data ng telepono mula sa mga umaatake.
Ang pagiging piggyback na masama. Ngunit, muli, umaasa sa iyo na nasa isang hindi ligtas na network sa unang lugar (na hindi mo talaga dapat - iwasan ang mga pampublikong hotspot na hindi gumagamit ng wireless security, o isaalang-alang ang isang VPN). At ang isang tao na naroroon upang gumawa ng isang bagay na hindi maganda sa unang lugar.
At nakasalalay sa iyo ang pagkakaroon ng isang hindi ipinadala na aparato. Tulad ng ipinapahiwatig mismo ng NowSecure, na naihatid na ang mga patch ng Samsung sa mga carrier. Ito ay walang ideya kung ilan ang nagtulak sa patch, o sa huli kung gaano karaming mga aparato ang nananatiling mahina.
Ang mga ito ay maraming mga variable at hindi alam na sa huli ay nagdaragdag ng isa pang pang-agham na pang-akademikong (kumpara sa isa na may mga implikasyon sa real-mundo) na talagang dapat (at naging) patched, kahit na binibigyang diin nito ang kahalagahan ng mga operator na kumokontrol ang mga pag-update sa mga telepono sa US upang makakuha ng mga update na hunhon nang mas mabilis.
I-update ang Hunyo 17: SwiftKey, sa isang post sa blog, ay nagsabi:
Nagbibigay kami ng Samsung ng pangunahing teknolohiya na nagbibigay lakas sa mga hula ng salita sa kanilang keyboard. Lumilitaw na ang paraan ng teknolohiyang ito ay isinama sa mga aparato ng Samsung na ipinakilala ang kahinaan sa seguridad. Ginagawa namin ang lahat ng aming makakaya upang suportahan ang aming matagal nang kasosyo na Samsung sa kanilang pagsisikap na malutas ang malas ngunit mahalagang isyu sa seguridad.
Ang kahinaan na pinag-uusapan ay nagdudulot ng isang mababang peligro: ang isang gumagamit ay dapat na konektado sa isang nakompromiso na network (tulad ng isang nasirang pampublikong Wi-Fi network), kung saan ang isang hacker na may tamang mga tool ay partikular na inilaan upang makakuha ng pag-access sa kanilang aparato. Ang pag-access na ito ay posible lamang kung ang keyboard ng gumagamit ay nagsasagawa ng pag-update ng wika sa partikular na oras, habang nakakonekta sa nakompromiso na network.
