600 mln posiadaczy Samsungów Galaxy zagrożonych złośliwymi aktualizacjami klawiatury
Eksperci z firmy NowSecure szacują, że zagrożonych jestprzynajmniej 600 milionów osób – wszyscy ci, którzy kupili wciągu ostatnich lat najmocniejsze smartfony Samsunga, wykorzystująceIME, przerobioną przez Koreańczyków odmianę klawiatury SwiftKey.Pomysłowy atak pozwala przejąć kontrolę nad urządzeniem, oddającnapastnikowi dostęp do kamery i mikrofonu, możliwość odczytanialisty kontaktów i wiadomości, a nawet zdalne zainstalowaniewłasnych złośliwych aplikacji.
Wczoraj na konferencji BlackHat w Londynie swoje odkrycieprzedstawił Ryan Welton, pracownik NowSecure. Z jego wyjaśnieńwynika, że klawiatura używana w smartfonach Samsunga wykorzystujeniezaszyfrowany mechanizm aktualizacji. Wskutek tego napastnikprzejmując komunikację w obrębie tej samej podczas atakuman-in-the-middle może podszyć się pod serwer z aktualizacjami.
Problem nie byłby taki poważny, gdyby nie to, że aplikacjaklawiatury nie pytając użytkownika o zdanie regularnie odpytujeserwer producenta o dostępność aktualizacji dla niej lub pakietówjęzykowych. Co gorsze, proces aktualizacji działa z bardzo dużymiuprawnieniami, omijając normalne zabezpieczenia Androida.Niezaszyfrowany plik, który może zawierać wrogi kod, z dostępemdo wszystkich funkcji systemu – faktycznie ktoś tu był bardzo„pomysłowy”.
Zastanawia bowiem fakt, że ktoś jednak myślał nadzabezpieczeniem tego mechanizmu aktualizacji, ale jego pomysł niebył specjalnie udany. Zawartość pliku z aktualizacją musi bowiemodpowiadać temu, co podane jest w pliku manifestu, m.in.zawierającego skrót SHA-1. Oczywiście podrobienie takiego plikumanifestu, jak przedstawił to Welton, wcale nie jest trudne.
SamsungKeyboardExploit
Co gorsze, nawet jeśli zmienicie klawiaturę na bezpieczną,problem nie zniknie. IME Samsunga wciąż tam będzie, wciąż będzieodpytywać serwer aktualizacji – wystarczy by napastnik zaczekałdo momentu, gdy takie zapytanie zostanie wysłane. Co więc robić?Niestety, nie ma obecnie żadnego rozwiązania tej sprawy dlaposiadaczy telefonów bez roota, których jest przecież większość.Należy unikać niezabezpieczonych sieci Wi-Fi, i to jednak niepomoże, jeśli napastnicy przejmą np. kontrolę nad serwerem DNS wjakiejś publicznej sieci. Użytkownicy zrootowanych smartfonówpowinni oczywiście jak najszybciej klawiaturę IME Samsunga usunąć.
Badania wykazały, że winę ponosi tu wyłącznie Samsung. Coprawda ma ona swoje źródła w tym, jak działa SDK klawiaturySwiftKey, ale w aktualnej jej wersji dostępnej przez sklep Playzagrożenia już nie ma. W dodatku zainstalowana przez mechanizmGoogle aplikacja nie ma takich uprawnień, jak jej przeróbka odkoreańskiego producenta.
Ryan Welton przyznał co prawda, że zawiadomiony wcześniejSamsung przygotował już łatkę dla narażonych na atak smartfonówGalaxy, ale nie ma to jednak większego znaczenia. Łatka trafiłabowiem do sprzedających Samsungi telekomów, które musiałyby terazwprowadzić ją do aktualizacji OTA. Wiemu zaś dobrze, jak bardzopalą się telekomy do przeprowadzania aktualizacji bezpieczeństwamających objąć już sprzedane klientom modele telefonów.
Więcej informacji o mechanizmie ataku znaleźć można nafirmowymblogu NowSecure.