Компания Samsung пообещала в ближайшие дни опубликовать обновление, которое устраняет опасную уязвимость в клавиатурном приложении телефонов Galaxy. По оценкам экспертов, баг затронул до 600 млн аппаратов, проданных по всему миру, включая Galaxy S4 Mini, S4, S5 и недавно выпущенный S6.

Об уязвимости 16 июня рассказал Райан Велтон (Ryan Welton), специалист из компании NowSecure. На лондонской конференции Blackhat он даже продемонстрировал эксплоит.

Уязвимость состоит в некорректной процедуре обновления программной клавиатуры, а именно модуля languagePack. Клавиатура Swift предустановлена на всех устройствах Samsung, её нельзя отключить или удалить. При обновлении языков происходит запрос к удалённому серверу, откуда скачивается zip-файл.

   GET http://skslm.swiftkey.net/samsung/downloads/v1.3-USA/az_AZ.zip
              ← 200 application/zip 995.63kB 601ms

Соответственно, злоумышленник может поднять прокси, например, в открытом хотспоте, и выдавать по запросу zip-файл с произвольным содержимым, он будет установлен на системном уровне.

Как показано на видео, установка поддельного обновления проходит незаметно для пользователя и не требует от него никаких особенных действий, кроме стандартной операции по обновлению системы.

«Samsung очень серьёзно относится к всем угрозам безопасности. Были сообщения об уязвимости при обновлении приложения клавиатуры на устройствах Galaxy. Мы осведомлены о проблеме. Эта уязвимость, как указали сами исследователи, требует очень специфического набора условий, чтобы можно было применить эксплоит. В том числе и жертва, и хакер физически должны находиться в одной незащищённой сети, когда скачивается обновление с языками для клавиатуры. Кроме того, на устройствах с защитой KNOX есть дополнительные возможности на уровне ядра по защите от исполнения вредоносного кода», — сказано в официальном блоге Samsung.

Система KNOX установлена на всех флагманских моделях, начиная с Galaxy S4. Тем не менее, Samsung пообещала в ближайшие дни выпустить обновления правил безопасности.



2 комментария

  1. Jeffrey Davis

    19.06.2015 at 13:58

    А всё из-за того, что с самого начала и Google, и производители аппаратов задумали отвратительную подлую игру. Google, кстати, продолжает играть в эту же игру на своих псевдо opensource проектах.
    Чего уж теперь-то вспоминать, но правда от этого правдой быть так и не перестаёт. Android в своё время, годах эдак в две тысячи седьмом-восьмом, преподносился как opensource проект, формально даже остаётся им до сих пор. Но при всём при том как-то влиять на прошивку в телефоне или на то, что и как она делает, возможности у пользователя практически нет. Потому что корпорация добра к пользователям так относится. Это печально.

  2. 21.06.2015 at 22:56

    Уже выпустили. S4

Оставить мнение