A nagy mobilgyártók közül a Samsung azok közé tartozik, akik nagy kedvvel telepítenek előre különböző szoftvereket a mobilokra. Ezek az alkalmazások jellemzően a koreaiak saját portfóliójába tartoznak, de nem egyszer fordul elő, hogy megállapodások alapján külsős fejlesztők alkalmazásai már a gyártás folyamán bekerülnek a memóriába.
Teljes vezérlést kaphatnak
A NowSecure jelentése szerint egy ilyen app jelent hatalmas veszélyt a világ közel 600 millió Samsung Galaxy készülékére. A SwiftKey szintén előre telepítve kerül a felhasználókhoz, és az Android eredeti billentyűzete helyettesíthető vele. Az egyébként valóban hasznos alkalmazás azonban tartalmaz egy kritikus sérülékenységi pontot, ami lehetővé teszi, hogy kívülről hozzáférjenek a telefonon tárolt adatokhoz.
A támadási felületet az adja, hogy a SwiftKey képességei különböző nyelvi csomagok letöltésével bővíthetők. A biztonsági cég szakértői azonban el tudták érni, hogy a szoftver egy titkosítás nélküli kapcsolaton keresztül, egy egyszerű szöveges dokumentumot töltsön le (a nyelvi fájl helyett), amivel elméletileg bármilyen vírus, vagy malware bejuttatható a készülékbe.
A NowSecure szerint ezzel a módszerrel nincs akadálya annak, hogy távolról hozzáférjenek a mobil érzékelőihez, GPS moduljához, kamerájához, mikrofonjához, vagy észrevétlenül telepítsen rosszindulatú alkalmazásokat. De az is lehetséges, hogy a készüléken folyó beszélgetéseket, üzenetváltásokat lehallgassák, és végül hozzáférjenek az azon tárolt dokumentumokhoz, képekhez. A cég 2014-ben már tájékoztatta a Samsungot a problémáról, ami után ki is adtak egy javítócsomagot, de a jelek szerint a hiba még mindig fennáll.
Nem lehet szabadulni tőle
A legegyszerűbb megoldás az lenne, ha a felhasználó törölné a SwiftKey-t, de az előre telepített alkalmazások esetében erre nincs lehetőség. A NowSecure ezért azt javasolja, hogy akinek ilyen app van a telefonján, az ne kapcsolódjon titkosítás nélküli WiFi hálózathoz, vagy egyszerűen használjon másik készüléket, de az is megoldás, hogy ne töltsön le semmilyen frissítést az alkalmazás segítségével.
A teljes képhez az is hozzátartozik, hogy a sérülékenység kizárólag a SwiftKey előre telepített verzióinál létezik, azaz másik mobilon, a Play Store-ból letöltve ugyanez a trükk nem vihető végbe. Az érintett készülékek listája a NowSecure oldalán érhető el.
A jövőálló digitális megoldások sikere az üzleti értékteremtésben mérhető
Az informatikai fejlesztések gyakran technológiai kérdésként jelennek meg, pedig egy kódsor vagy digitális megoldás önmagában soha nem lehet végcél. A 4D Soft több mint 35 éve ennek szellemében fókuszál a projektek negyedik dimenziójára: az üzleti értékteremtésre.
a melléklet támogatója a Clico
A hibakeresés nem egyenlő az alkalmazásbiztonsággal
Építsünk olyan AppSec környezetet, amely csökkenti az alkalmazásfejlesztés kockázatait, de nem válik a gyors leszállítás akadályává!
CIO kutatás
Merre tart a vállalati IT és annak irányítója?
Hiánypótló nagykép a hazai nagyvállalati informatikáról és az IT-vezetőkről: skillek, felelősségek, feladatkörök a múltban, a jelenben és a jövőben.
Töltse ki Ön is, hogy tisztábban lássa, hogyan építse vállalata IT-ját és saját karrierjét!
Az eredményeket május 8-án ismertetjük a 17. CIO Hungary konferencián.
Projektek O-gyűrűje. Mit tanulhat egy projektvezető a Challenger tragédiájából?