6月19日更新:サムスンは、エクスプロイトの修正を確実に取得するためにできることを詳しく説明しています。
6月18日更新:サムスンは Android Centralに 、オペレーターからのシステム全体の更新を待つ必要のないセキュリティ更新プログラムを準備していると伝えます。
携帯電話に搭載されているサムスンのように、Samsungの標準キーボードは、セキュリティ会社 NowSecureの 記事の主題であり、携帯電話でコードをリモートで実行できる可能性がある欠陥を詳述しています。 サムスンの組み込みキーボードは、予測と言語パックにSwiftKeyソフトウェア開発キットを使用しており、そこで悪用が発見されました。
NowSecure は、「Samsungキーボードのセキュリティリスクの開示:全世界で6億台以上のデバイスに影響がありました」という見出しを付けています。 それは恐ろしいことです。 (特に、明るい赤の背景と、一般に死んだ顔として知られているものの怖い画像が含まれている場合)
心配する必要がありますか? おそらくない。 分解しましょう。
まず最初に:SamsungのGalaxy S6、Galaxy S5、Galaxy S4、GS4 Miniの標準キーボードについて話していることが確認されました。GooglePlayまたはApple App StoreからダウンロードできるSwiftKeyのバージョンではあり ません 。 これらは2つの非常に異なるものです。 (そして、もしあなたがサムスンの電話を使用していないのであれば、明らかにこれのいずれもあなたに当てはまらない。)
SwiftKeyに連絡して、次の声明を出しました。
SwiftKey SDKを使用するSamsungのストックキーボードに関連するセキュリティ問題のレポートを見てきました。 Google PlayまたはApple App Storeで利用可能なSwiftKeyキーボードアプリがこの脆弱性の影響を受けていないことを確認できます。 この方法の報告は非常に真剣に受け止めており、現在さらに調査中です。
私たちはまた、その日の早い時間にサムスンに連絡しましたが、まだコメントを受け取っていません。 入手したら更新します。
このエクスプロイトに関する NowSecureの 技術ブログを読むと、何が起こっているのかを垣間見ることができます。 (自分で読んだ場合、「Swift」と言う箇所は「SwiftKey」を意味することに注意してください。)安全でないアクセスポイント(オープンWifiネットワークなど)に接続している場合、誰かが傍受して変更する可能性がありますSwiftKey言語は更新中にパックされ(明確な理由-改善された予測とそうでないために定期的に行います)、攻撃者から電話データを送信します。
おんぶできるのは悪いことです。 しかし、やはり、そもそもあなたが安全でないネットワークにいることに依存しています(実際にはそうすべきではありません-ワイヤレスセキュリティを使用しないパブリックホットスポットを避けたり、VPNを検討してください)。 そして、そもそも誰かが邪悪なことをするためにそこにいる。
そして、パッチを当てていないデバイスを持っているかどうかに依存します。 NowSecure 自身が指摘しているように、Samsungはすでにキャリアにパッチを提出しています。 どれだけの数がパッチをプッシュしたか、最終的には何台のデバイスが脆弱なままであるかはわかりません。
これらは、実際にパッチを適用する必要がある(そして実際に適用されている)ものとは対照的に、最終的に別のアカデミックエクスプロイトに追加される多くの変数と未知の要素ですが、制御するオペレーターの重要性を強調しています更新をより迅速にプッシュするための米国の電話の更新。
6月17日更新: SwiftKeyはブログ投稿で次のように述べています。
サムスンは、キーボードで単語を予測するためのコアテクノロジーを提供しています。 この技術がSamsungデバイスに統合された方法により、セキュリティの脆弱性が導入されたようです。 このあいまいだが重要なセキュリティ問題を解決するために、長年のパートナーであるサムスンをサポートするために、できる限りのことを行っています。
問題の脆弱性のリスクは低くなります。ユーザーは、適切なツールを使用するハッカーがデバイスへのアクセスを明確に意図した侵害されたネットワーク(スプーフィングされたパブリックWi-Fiネットワークなど)に接続する必要があります。 このアクセスは、侵害されたネットワークに接続している間にユーザーのキーボードがその特定の時間に言語の更新を行っている場合にのみ可能です。
