Samsung opravil chybu klávesnice aktualizací bezpečnostních politik

Minulý týden jsme vás informovali o softwarové chybě defulatní klávesnice ve smartphonech Samsung, která je možným bezpečnostním rizikem. Jako problémová se ukázala část, která slouží ke stažení či aktualizaci jazykových slovníků. Data se nepřenáší šifrovaně, ale jen textově, což může být vstupní branou pro případného útočníka, který by byl připojen na stejné nezabezpečené Wi-Fi síti.

Klepněte pro větší obrázekKlepněte pro větší obrázek
Samsung aktualizoval zásady zabezpečení u Galaxy S6 Edge, čímž opravil možnou bezpečnostní chybu své napevno vestavěné QWERTY klávesnice. Byť jsou aktualizace nastaveny na automatiku, update se provedl až po ručním vyhledání aktualizací

Samsung se k problému vyjádřil na svém blogu Samsung Tomorrow„Tato bezpečnostní hrozba, stejně jako podotkli ti, kdo ji objevili, vyžaduje velmi specifickou podmínek, aby byl hacker schopný nabourat se do zařízení. Tyto podmínky zahrnují, aby uživatel a hacker byli přítomni na stejné nechráněné Wi-Fi síti, na které uživatel stahuje jazykovou aktualizaci klávesnice. Na zařízeních s KNOXem je navíc funkční ochrana jádra v reálném čase, které znemožňuje efektivnost takovýchto případných útoků. Takže úspěšnost útoku, resp. zneužití klávesnice pro vniknutí do zařízení, je velmi malá. Samsungu se nepřihlásil nikdo, kdo by tvrdil, že jeho zařízení bylo kompromitováno přes aktualizace klávesnice. Ovšem jak uvádí původní zpráva, riziko existuje, a Samsung v nadcházejících dnech vydá aktualizaci bezpečnostních politik“.

Samsung zdá se chybu zabezpečení klávesnice již opravil a začíná ji postupně distribuovat přes OTA aktualizace. U Galaxy S6 Edge jsme update i přes nastavenou automatiku museli provést manuálně, u Galaxy A5 a Galaxy Note 4 zatím aktualizace neproběhla, žádné novější bezpečnostní politiky pro tyto modely tedy nejsou dostupné. Samotná aktualizace zásad zabezpečení je automaticky povolena při připojení na Wi-Fi, pokud si chcete aktualizaci vyhledat manuálně, najdete ji v Nastavení - Zamykací obr. a zabezp. (příp. Zabezpečení) - Další nastavení zabezpečení (popř. Aktual. zásad zabezpečení).


Původní článek vyšel 18. června s následujícím nadpisem:

Samsung má SW chybu v klávesnici, připravuje rychlou opravu

Ryan Welton ze společnosti NowSecure odhalil bezpečnostní chybu, kteár může ovlivnit bezpečnost až 600 milionů Samsungů s operačním systémem Android. Problém se týká defaultní Samsung klávesnice SwiftKey, resp. u stahování a aktualizace jazykových slovníků. Datová komunikace totiž neprobíhá šifrovaně, řádky slovníků jsou odeslány čistě textově. Ryan Walton demonstroval tuto chybu tím, že vytvořil vlastní proxy server, který na telefon posílal škodlivé bezpečnostní aktualizace spolu s validací, která zajistila, že tento kód zůstal na koncovém zařízení. Jakmile byla vytvořena vstupní brána do telefonu, útočník mohl postoupit k získávání soukromých dat, aniž by o tom koncový uživatel věděl.

Klepněte pro větší obrázekKlepněte pro větší obrázek
Bezpečnostní hrozba se ukrývá v klávesnici Samsungu, resp. v jejich stažitelných slovnících

Mezi ohrožená data patří textové zprávy, kontakty, hesla a přihlašovací údaje webového prohlížeče. Útočník dokonce může na dálku monitorovat uživatele. Samsungu již tato chyba byla oznámena loni v listopadu, přičemž oprava pro Samsungy s Androidem 4.2 a výše dorazila letos v březnu. Společnost NowSecure ale uvádí, že problém je ve firmwaru Samsungu stále přítomen, což demonstrovala na Galaxy S6 od amerického operátora Verizon. Ředitel NowSecure, Andrew Hoog, se domnívá, že tato chyba ovlivňuje smartphony Galaxy Note 4, Note 3, S III, S4, S5 i nové Galaxy S6 a Galaxy S6 Edge. Uživatelé jsou podle něj ohroženi i tehdy, pokud klávesnici nepoužívají, tj. mají jako hlavní nastavenu jinou klávesnici. Samotná klávesnice od Samsungu navíc ze systému nejde odebrat.

Klepněte pro větší obrázekKlepněte pro větší obrázek
Oprava by měla přijít brzy přes Samsung Security Policy Update, který je u Samsungů s KNOXem předinstalovaný a defaultně povolen

Než Samsung nabídne softwarovou opravu, je doporučeno, aby uživatelé svůj smartphone připojovali jen ke známým a zabezpečeným Wi-Fi sítím, čímž eliminují možnost útoku typu man-in-the-middle. Útočníci totiž musí být připojeni ke stejné Wi-Fi síti, jako je připojen potenciálně ohrožený uživatel. Krátce po zveřejnění problému přejala tuto zprávu většina světových médií, několik hodin poté se objevila i reakce Samsungu. Ten problém okomentoval následovně: „Samsung bere bezpečnostní hrozby velmi vážně. Jsme si vědomi problému, který se objevil v několika médiích, a jsme připraveníi uživatelům poskytnout to nejnovější mobilní zabezpečení. Samsung KNOX má možnost aktualizovat bezpečnostní politiky na našich telefonech v režimu over-the-air, aby mohly být odstraněny možné zranitelnosti. Aktualizace bezpečnostních politik bude uvolňována v následujících dnech, dále spolupracujeme se společností SwiftKey abychom s ní vyřešili další potenciální rizika.“

Zdroj: Forbes

Témata článku: Samsung, Android, Ostatní, Software pro mobily, Aktualizace softwaru, Klávesnice, Samsung Galaxy, Samsung Galaxy A5, Samsung Galaxy A5 (2016), Samsung Galaxy Note, Samsung Galaxy Note 4, Samsung Galaxy S6, Samsung Galaxy S6 128GB, Samsung Galaxy S6 64GB, Samsung Galaxy S6 Edge, Samsung Galaxy S6 Edge 128GB, Samsung Galaxy S6 Edge 64GB, Samsung Galaxy S6 Edge+, Samsung Galaxy S6 Edge+ 64GB, Vstupní brána, Koncové zařízení, Bezpečnostní hrozba, A/B


Určitě si přečtěte

Alcatel Idol 5S: skvělý muzikant s vysokými ambicemi [recenze]

Alcatel Idol 5S: skvělý muzikant s vysokými ambicemi [recenze]

** Idol 5S je nejvyšší telefon z portfolia Alcatelu, výbavou ale spadá do střední třídy ** Hlavním benefitem má být kvalitní zvuk se stereo reproduktory ** Zaujmout zahodlá i skvělým designem a kvalitním hliníkovým tělem

Včera | Miksa Martin

OnePlus 5T: „Pětka“ se zbavuje rámečků a drží lákavou cenu

OnePlus 5T: „Pětka“ se zbavuje rámečků a drží lákavou cenu

** 5T je nový vlajkový model značky OnePlus ** Hlavní změnou je větší displej s tenkými rámečky ** Zachována zůstává špičková výbava, ale také cena

16.  11.  2017 | Miksa Martin | 30

To nevymyslíš. Kvůli vyprodanému iPhonu X přivolali policii, ta doporučila Android

To nevymyslíš. Kvůli vyprodanému iPhonu X přivolali policii, ta doporučila Android

** Hledáte nejabsurdnější příběh roku? ** Tohle bude vážný kandidát! ** Zájemci se neprali za nový gadget, ale o zisk.

16.  11.  2017 | Kůžel Filip | 37

Balíčky Vodafone Pass základem vánoční nabídky. Některé budou do ledna zdarma

Balíčky Vodafone Pass základem vánoční nabídky. Některé budou do ledna zdarma

** Letošní vánoční nabídku Vodafonu tvoří balíčky rodiny Pass ** Operátor uvedl ceny zbývajících dvou pro hudbu a video ** Balíčky půjde vzájemně kombinovat

15.  11.  2017 | Láska Jan | 36