Samsung opravil chybu klávesnice aktualizací bezpečnostních politik

Minulý týden jsme vás informovali o softwarové chybě defulatní klávesnice ve smartphonech Samsung, která je možným bezpečnostním rizikem. Jako problémová se ukázala část, která slouží ke stažení či aktualizaci jazykových slovníků. Data se nepřenáší šifrovaně, ale jen textově, což může být vstupní branou pro případného útočníka, který by byl připojen na stejné nezabezpečené Wi-Fi síti.

Klepněte pro větší obrázekKlepněte pro větší obrázek
Samsung aktualizoval zásady zabezpečení u Galaxy S6 Edge, čímž opravil možnou bezpečnostní chybu své napevno vestavěné QWERTY klávesnice. Byť jsou aktualizace nastaveny na automatiku, update se provedl až po ručním vyhledání aktualizací

Samsung se k problému vyjádřil na svém blogu Samsung Tomorrow„Tato bezpečnostní hrozba, stejně jako podotkli ti, kdo ji objevili, vyžaduje velmi specifickou podmínek, aby byl hacker schopný nabourat se do zařízení. Tyto podmínky zahrnují, aby uživatel a hacker byli přítomni na stejné nechráněné Wi-Fi síti, na které uživatel stahuje jazykovou aktualizaci klávesnice. Na zařízeních s KNOXem je navíc funkční ochrana jádra v reálném čase, které znemožňuje efektivnost takovýchto případných útoků. Takže úspěšnost útoku, resp. zneužití klávesnice pro vniknutí do zařízení, je velmi malá. Samsungu se nepřihlásil nikdo, kdo by tvrdil, že jeho zařízení bylo kompromitováno přes aktualizace klávesnice. Ovšem jak uvádí původní zpráva, riziko existuje, a Samsung v nadcházejících dnech vydá aktualizaci bezpečnostních politik“.

Samsung zdá se chybu zabezpečení klávesnice již opravil a začíná ji postupně distribuovat přes OTA aktualizace. U Galaxy S6 Edge jsme update i přes nastavenou automatiku museli provést manuálně, u Galaxy A5 a Galaxy Note 4 zatím aktualizace neproběhla, žádné novější bezpečnostní politiky pro tyto modely tedy nejsou dostupné. Samotná aktualizace zásad zabezpečení je automaticky povolena při připojení na Wi-Fi, pokud si chcete aktualizaci vyhledat manuálně, najdete ji v Nastavení - Zamykací obr. a zabezp. (příp. Zabezpečení) - Další nastavení zabezpečení (popř. Aktual. zásad zabezpečení).


Původní článek vyšel 18. června s následujícím nadpisem:

Samsung má SW chybu v klávesnici, připravuje rychlou opravu

Ryan Welton ze společnosti NowSecure odhalil bezpečnostní chybu, kteár může ovlivnit bezpečnost až 600 milionů Samsungů s operačním systémem Android. Problém se týká defaultní Samsung klávesnice SwiftKey, resp. u stahování a aktualizace jazykových slovníků. Datová komunikace totiž neprobíhá šifrovaně, řádky slovníků jsou odeslány čistě textově. Ryan Walton demonstroval tuto chybu tím, že vytvořil vlastní proxy server, který na telefon posílal škodlivé bezpečnostní aktualizace spolu s validací, která zajistila, že tento kód zůstal na koncovém zařízení. Jakmile byla vytvořena vstupní brána do telefonu, útočník mohl postoupit k získávání soukromých dat, aniž by o tom koncový uživatel věděl.

Klepněte pro větší obrázekKlepněte pro větší obrázek
Bezpečnostní hrozba se ukrývá v klávesnici Samsungu, resp. v jejich stažitelných slovnících

Mezi ohrožená data patří textové zprávy, kontakty, hesla a přihlašovací údaje webového prohlížeče. Útočník dokonce může na dálku monitorovat uživatele. Samsungu již tato chyba byla oznámena loni v listopadu, přičemž oprava pro Samsungy s Androidem 4.2 a výše dorazila letos v březnu. Společnost NowSecure ale uvádí, že problém je ve firmwaru Samsungu stále přítomen, což demonstrovala na Galaxy S6 od amerického operátora Verizon. Ředitel NowSecure, Andrew Hoog, se domnívá, že tato chyba ovlivňuje smartphony Galaxy Note 4, Note 3, S III, S4, S5 i nové Galaxy S6 a Galaxy S6 Edge. Uživatelé jsou podle něj ohroženi i tehdy, pokud klávesnici nepoužívají, tj. mají jako hlavní nastavenu jinou klávesnici. Samotná klávesnice od Samsungu navíc ze systému nejde odebrat.

Klepněte pro větší obrázekKlepněte pro větší obrázek
Oprava by měla přijít brzy přes Samsung Security Policy Update, který je u Samsungů s KNOXem předinstalovaný a defaultně povolen

Než Samsung nabídne softwarovou opravu, je doporučeno, aby uživatelé svůj smartphone připojovali jen ke známým a zabezpečeným Wi-Fi sítím, čímž eliminují možnost útoku typu man-in-the-middle. Útočníci totiž musí být připojeni ke stejné Wi-Fi síti, jako je připojen potenciálně ohrožený uživatel. Krátce po zveřejnění problému přejala tuto zprávu většina světových médií, několik hodin poté se objevila i reakce Samsungu. Ten problém okomentoval následovně: „Samsung bere bezpečnostní hrozby velmi vážně. Jsme si vědomi problému, který se objevil v několika médiích, a jsme připraveníi uživatelům poskytnout to nejnovější mobilní zabezpečení. Samsung KNOX má možnost aktualizovat bezpečnostní politiky na našich telefonech v režimu over-the-air, aby mohly být odstraněny možné zranitelnosti. Aktualizace bezpečnostních politik bude uvolňována v následujících dnech, dále spolupracujeme se společností SwiftKey abychom s ní vyřešili další potenciální rizika.“

Zdroj: Forbes

Diskuze (24) Další článek: Za pár let budou mít mobily samoopravovací displeje

Témata článku: Samsung, Android, Aktualizace softwaru, Ostatní, Software pro mobily, Klávesnice, Samsung Galaxy, Samsung Galaxy A5, Samsung Galaxy A5 (2016), Samsung Galaxy Note, Samsung Galaxy Note 4, Samsung Galaxy S6, Samsung Galaxy S6 128GB, Samsung Galaxy S6 64GB, Samsung Galaxy S6 Edge, Samsung Galaxy S6 Edge 128GB, Samsung Galaxy S6 Edge 64GB, Samsung Galaxy S6 Edge+, Samsung Galaxy S6 Edge+ 64GB, Proxy, Vstupní brána, Akt, Pol, Datová komunikace, Bezpečnostní hrozba



Určitě si přečtěte

RECENZE: Honor 8X — obr téměř bez chyb

RECENZE: Honor 8X — obr téměř bez chyb

** 6,5" displej nemusí nezbytně znamenat nepoužitelně velkou plácačku ** Výbava nezklame, až na zastaralý microUSB konektor ** Zásadní inovace nečekejte, ale ve střední třídě to (zatím) nevadí

Martin Herodek | 60

RECENZE: Honor 7A — dobrá volba, když nechcete utrácet

RECENZE: Honor 7A — dobrá volba, když nechcete utrácet

** Honor 7A je ideální smartphone pro děti či začátečníky ** Nestojí moc a systém na něm jede hezky plynule ** Má rozumně nastavené parametry, zabezpečení a hezké barvy **

Jakub Vrbacký | 20

RECENZE: Xiaomi Mi A2 — průbojnější pokračovatel rodu

RECENZE: Xiaomi Mi A2 — průbojnější pokračovatel rodu

** Displej 18 : 9 jde udělat bez výřezu, hurá! ** Zapomeňte na paměťovou kartu a jack ** Čistý Android One je hodně svižný

Ondrej Papánek | 49

RECENZE: Sony Xperia XZ3 — Japonci jsou zpátky v extralize

RECENZE: Sony Xperia XZ3 — Japonci jsou zpátky v extralize

** Sony výrazně zmodernizovalo vlajkový model ** OLED displej patří mezi nejlepší na trhu ** Opět se zlepšil i fotoaparát

Jan Láska | 102

RECENZE: Xiaomi Mi 8 Lite — zaděláno na vánoční bestseller

RECENZE: Xiaomi Mi 8 Lite — zaděláno na vánoční bestseller

** Xiaomi Mi 8 Lite má velmi dobrý poměr ceny a výkonu ** Zadní strana s gradientem není všechno a dnes ji skoro každý ** Vlastnosti často dražších modelů vyvažují zbytečné kroky vedle

Jakub Vrbacký | 23

RECENZE: Xiaomi Redmi Note 5 je téměř bez chyby a má skvělou cenu

RECENZE: Xiaomi Redmi Note 5 je téměř bez chyby a má skvělou cenu

** Kvalitně zpracovaný telefon, na kterém se obtížně hledají chyby ** NFC je zejména v ČR klíčovým parametrem, který zde bohužel chybí ** Povedený mix funkcí si může držet přijatelnou cenovku

Martin Herodek | 78

Jak správně dobíjet baterie současných mobilů? Pozor na zastaralé návyky

Jak správně dobíjet baterie současných mobilů? Pozor na zastaralé návyky

Baterie v mobilních zařízeních se vyvíjejí, i když možná ne tak rychle jako některé jiné komponenty. Přesto už s dnešními články není žádoucí pracovat jako kdysi s NiCd bateriemi.

Jan Láska | 120