0 comments

600 de milioane de dispozitive Samsung vulnerabile!

by on 18/06/2015
 

Ieri, un raport care vorbea despre mai mult de 600 de milioane de dispozitive Samsung vulnerabile in fata unei probleme de securitate a ocupat prima pagina a publicatiilor. Problema de securitate era legata de utilizarea de catre Samsung a tehnologiei de tastatura Swiftkey pentru majoritatea telefoanelor lor, inclusiv recent lansatul Galaxy S6. Titlurile arata intr-adevar infricosator, dar trebuie inteles faptul ca sansele ca telefonul tau sa fie compromis sunt… al naibii de mici. De asemenea asta nu este o problema Swiftkey, in caz ca va intrebati, este o problema cu un update intarziat al operatorului sau o problema Samsung.

Deci vulnerabilitatea de securitate e ceva de genul: telefonul tau Samsung primeste update-uri de limbi pentru tastatura sa din fabrica (care, din nou, este dezvoltata de Swifkey). In timpul acestui proces, un hacker siret se uita peste umarul tau, observa ca esti destul de prost cat sa te atasezi unui WiFi nesecurizat (sau “vagabond”), WiFi pe care el/ea l-a pus la punct pentru a face lucruri… de hacker, care implica “modificarea traficului de upstream” in timp ce tu iti faci update pentru a obtine acces la telefon. Presupunand ca toate acele etape se aliniaza si sunt executate la timp… in timp ce tu iti faci update-ul, acest hacker ar putea atunci sa aiba acces la GPS, camera, sau microfon, poate instala aplicatii malitioase, poate trage cu urechea la conversatii, si poate incerca sa iti acceseze pozele si SMS-urile.

Nu vreau sa minimizez o problema de securitate, dar frate, asta suna ca o gramada de cac*turi care trebuie sa se alinieze deodata (o furtuna perfecta) ca cineva sa iti compromita telefonul. Dar totusi, cel putin la nivel teoretic, este o problema.

Deci a cui este vina si va rezolva cineva prostia asta? Probabil a tuturor, si da.

Aparent Samsung a fost notificat in legatura cu problema asta acuma multe, multe luni de catre NowSecure, grupul care a identificat vulnerabilitatea, si sustine ca le-a trimis patch-uri operatorilor parteneri. Desigur, operatorii sunt lenti cu scoaterea update-urilor sau Samsung minte de ingheata apele, astfel chiar saptamana trecuta telefoane au fost testate si exploatate. Asta nu-i de bine. Putem presupune ca update-urile urmeaza sa vina. Ar trebui sa vina. Te rog Samsung, spune-ne ca vin!

Ce are Swiftkey de a face cu asta? Nu prea multe… de fapt.

Swiftkey, spun intr-un comunicat dat azi dimineata, ca este de fapt vina este in ograda Samsung, pentru metoda in care au implementat tehnologia de tastatura Swifkey pe telefoanele lor. Totusi lucreaza cu Samsung pentru a rezolva problema, presupunand ca Samsung… nu au rezolvat-o deja. Cat despre aplicatiile pentru comsumatori ale Swifkey, nu ai de ce sa iti faci griji. Aceasta problema nu are nimica de-a face cu aplicatiile de tastatura Swiftkey de pe Google Play sau App Store – e o treaba cu tastaturile Samsung.

Concluzie

In primul rand, oamenii care nu sunt familiari cu Swiftkey raporteaza peste tot ca “tastatura Swift” de pe Samsung este vulnerabila. Doar sa stii ca „desteptii” astia se refera la Swiftkey, dar tocmai ti-am spus ca Swiftkey nu este problema, ci modul in care Samsung a facut integrarea tehnologiei in tastaturile lor din fabrica.

In al doilea rand, ar fi incredibil de dificil ca telefonul tau sa fie hack-uit in acest fel. Operatorii au o solutie, si putem presupune ca o vor lansa cat mai repede, acuma ca problema este de doua zile in gura presei.

Samsung au oferit si ei un comunicat pe tema vulnerabilitatii:

“Samsung ia foarte in serios pericolele de securitate care apar. Suntem la current cu recenta problema raportata de mai multe publicatii si ne angajam sa furnizam cele mai recente rezolvari de securitate mobile. Samsung Knox are posibilitatea de a updata structura de securitate a telefoanelor, pentru a invalida potentialele vulnerabilitati cauzate de aceasta problema. Pe langa update-ul politicii de securitate, lucram cu Swiftkey pentru a adresa viitoare riscuri potentiale.”

Deci toate aiurelile alea despre ei rezolvand problema cu mult timp in urma si operatorii care sunt prea inceti, prostii. Samsung nu a emis nimic. Dar acuma o vor face fiindca au primit destula „publicitate”!