r   e   k   l   a   m   a
r   e   k   l   a   m   a

600 mln posiadaczy Samsungów Galaxy zagrożonych złośliwymi aktualizacjami klawiatury

Strona główna AktualnościOPROGRAMOWANIE

Eksperci z firmy NowSecure szacują, że zagrożonych jest przynajmniej 600 milionów osób – wszyscy ci, którzy kupili w ciągu ostatnich lat najmocniejsze smartfony Samsunga, wykorzystujące IME, przerobioną przez Koreańczyków odmianę klawiatury SwiftKey. Pomysłowy atak pozwala przejąć kontrolę nad urządzeniem, oddając napastnikowi dostęp do kamery i mikrofonu, możliwość odczytania listy kontaktów i wiadomości, a nawet zdalne zainstalowanie własnych złośliwych aplikacji.

Wczoraj na konferencji BlackHat w Londynie swoje odkrycie przedstawił Ryan Welton, pracownik NowSecure. Z jego wyjaśnień wynika, że klawiatura używana w smartfonach Samsunga wykorzystuje niezaszyfrowany mechanizm aktualizacji. Wskutek tego napastnik przejmując komunikację w obrębie tej samej podczas ataku man-in-the-middle może podszyć się pod serwer z aktualizacjami.

Problem nie byłby taki poważny, gdyby nie to, że aplikacja klawiatury nie pytając użytkownika o zdanie regularnie odpytuje serwer producenta o dostępność aktualizacji dla niej lub pakietów językowych. Co gorsze, proces aktualizacji działa z bardzo dużymi uprawnieniami, omijając normalne zabezpieczenia Androida. Niezaszyfrowany plik, który może zawierać wrogi kod, z dostępem do wszystkich funkcji systemu – faktycznie ktoś tu był bardzo „pomysłowy”.

r   e   k   l   a   m   a

Zastanawia bowiem fakt, że ktoś jednak myślał nad zabezpieczeniem tego mechanizmu aktualizacji, ale jego pomysł nie był specjalnie udany. Zawartość pliku z aktualizacją musi bowiem odpowiadać temu, co podane jest w pliku manifestu, m.in. zawierającego skrót SHA-1. Oczywiście podrobienie takiego pliku manifestu, jak przedstawił to Welton, wcale nie jest trudne.

Co gorsze, nawet jeśli zmienicie klawiaturę na bezpieczną, problem nie zniknie. IME Samsunga wciąż tam będzie, wciąż będzie odpytywać serwer aktualizacji – wystarczy by napastnik zaczekał do momentu, gdy takie zapytanie zostanie wysłane. Co więc robić? Niestety, nie ma obecnie żadnego rozwiązania tej sprawy dla posiadaczy telefonów bez roota, których jest przecież większość. Należy unikać niezabezpieczonych sieci Wi-Fi, i to jednak nie pomoże, jeśli napastnicy przejmą np. kontrolę nad serwerem DNS w jakiejś publicznej sieci. Użytkownicy zrootowanych smartfonów powinni oczywiście jak najszybciej klawiaturę IME Samsunga usunąć.

Badania wykazały, że winę ponosi tu wyłącznie Samsung. Co prawda ma ona swoje źródła w tym, jak działa SDK klawiatury SwiftKey, ale w aktualnej jej wersji dostępnej przez sklep Play zagrożenia już nie ma. W dodatku zainstalowana przez mechanizm Google aplikacja nie ma takich uprawnień, jak jej przeróbka od koreańskiego producenta.

Ryan Welton przyznał co prawda, że zawiadomiony wcześniej Samsung przygotował już łatkę dla narażonych na atak smartfonów Galaxy, ale nie ma to jednak większego znaczenia. Łatka trafiła bowiem do sprzedających Samsungi telekomów, które musiałyby teraz wprowadzić ją do aktualizacji OTA. Wiemu zaś dobrze, jak bardzo palą się telekomy do przeprowadzania aktualizacji bezpieczeństwa mających objąć już sprzedane klientom modele telefonów.

Więcej informacji o mechanizmie ataku znaleźć można na firmowym blogu NowSecure.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.