Компания Samsung пообещала в ближайшие дни опубликовать обновление, которое устраняет опасную уязвимость в клавиатурном приложении телефонов Galaxy. По оценкам экспертов, баг затронул до 600 млн аппаратов, проданных по всему миру, включая Galaxy S4 Mini, S4, S5 и недавно выпущенный S6.
Об уязвимости 16 июня рассказал Райан Велтон (Ryan Welton), специалист из компании NowSecure. На лондонской конференции Blackhat он даже продемонстрировал эксплоит.
Уязвимость состоит в некорректной процедуре обновления программной клавиатуры, а именно модуля languagePack. Клавиатура Swift предустановлена на всех устройствах Samsung, её нельзя отключить или удалить. При обновлении языков происходит запрос к удалённому серверу, откуда скачивается zip-файл.
GET http://skslm.swiftkey.net/samsung/downloads/v1.3-USA/az_AZ.zip
← 200 application/zip 995.63kB 601ms
Соответственно, злоумышленник может поднять прокси, например, в открытом хотспоте, и выдавать по запросу zip-файл с произвольным содержимым, он будет установлен на системном уровне.
Как показано на видео, установка поддельного обновления проходит незаметно для пользователя и не требует от него никаких особенных действий, кроме стандартной операции по обновлению системы.
«Samsung очень серьёзно относится к всем угрозам безопасности. Были сообщения об уязвимости при обновлении приложения клавиатуры на устройствах Galaxy. Мы осведомлены о проблеме. Эта уязвимость, как указали сами исследователи, требует очень специфического набора условий, чтобы можно было применить эксплоит. В том числе и жертва, и хакер физически должны находиться в одной незащищённой сети, когда скачивается обновление с языками для клавиатуры. Кроме того, на устройствах с защитой KNOX есть дополнительные возможности на уровне ядра по защите от исполнения вредоносного кода», — сказано в официальном блоге Samsung.
Система KNOX установлена на всех флагманских моделях, начиная с Galaxy S4. Тем не менее, Samsung пообещала в ближайшие дни выпустить обновления правил безопасности.