Samsung opravil chybu klávesnice aktualizací bezpečnostních politik

Minulý týden jsme vás informovali o softwarové chybě defulatní klávesnice ve smartphonech Samsung, která je možným bezpečnostním rizikem. Jako problémová se ukázala část, která slouží ke stažení či aktualizaci jazykových slovníků. Data se nepřenáší šifrovaně, ale jen textově, což může být vstupní branou pro případného útočníka, který by byl připojen na stejné nezabezpečené Wi-Fi síti.

Klepněte pro větší obrázekKlepněte pro větší obrázek
Samsung aktualizoval zásady zabezpečení u Galaxy S6 Edge, čímž opravil možnou bezpečnostní chybu své napevno vestavěné QWERTY klávesnice. Byť jsou aktualizace nastaveny na automatiku, update se provedl až po ručním vyhledání aktualizací

Samsung se k problému vyjádřil na svém blogu Samsung Tomorrow„Tato bezpečnostní hrozba, stejně jako podotkli ti, kdo ji objevili, vyžaduje velmi specifickou podmínek, aby byl hacker schopný nabourat se do zařízení. Tyto podmínky zahrnují, aby uživatel a hacker byli přítomni na stejné nechráněné Wi-Fi síti, na které uživatel stahuje jazykovou aktualizaci klávesnice. Na zařízeních s KNOXem je navíc funkční ochrana jádra v reálném čase, které znemožňuje efektivnost takovýchto případných útoků. Takže úspěšnost útoku, resp. zneužití klávesnice pro vniknutí do zařízení, je velmi malá. Samsungu se nepřihlásil nikdo, kdo by tvrdil, že jeho zařízení bylo kompromitováno přes aktualizace klávesnice. Ovšem jak uvádí původní zpráva, riziko existuje, a Samsung v nadcházejících dnech vydá aktualizaci bezpečnostních politik“.

Samsung zdá se chybu zabezpečení klávesnice již opravil a začíná ji postupně distribuovat přes OTA aktualizace. U Galaxy S6 Edge jsme update i přes nastavenou automatiku museli provést manuálně, u Galaxy A5 a Galaxy Note 4 zatím aktualizace neproběhla, žádné novější bezpečnostní politiky pro tyto modely tedy nejsou dostupné. Samotná aktualizace zásad zabezpečení je automaticky povolena při připojení na Wi-Fi, pokud si chcete aktualizaci vyhledat manuálně, najdete ji v Nastavení - Zamykací obr. a zabezp. (příp. Zabezpečení) - Další nastavení zabezpečení (popř. Aktual. zásad zabezpečení).


Původní článek vyšel 18. června s následujícím nadpisem:

Samsung má SW chybu v klávesnici, připravuje rychlou opravu

Ryan Welton ze společnosti NowSecure odhalil bezpečnostní chybu, kteár může ovlivnit bezpečnost až 600 milionů Samsungů s operačním systémem Android. Problém se týká defaultní Samsung klávesnice SwiftKey, resp. u stahování a aktualizace jazykových slovníků. Datová komunikace totiž neprobíhá šifrovaně, řádky slovníků jsou odeslány čistě textově. Ryan Walton demonstroval tuto chybu tím, že vytvořil vlastní proxy server, který na telefon posílal škodlivé bezpečnostní aktualizace spolu s validací, která zajistila, že tento kód zůstal na koncovém zařízení. Jakmile byla vytvořena vstupní brána do telefonu, útočník mohl postoupit k získávání soukromých dat, aniž by o tom koncový uživatel věděl.

Klepněte pro větší obrázekKlepněte pro větší obrázek
Bezpečnostní hrozba se ukrývá v klávesnici Samsungu, resp. v jejich stažitelných slovnících

Mezi ohrožená data patří textové zprávy, kontakty, hesla a přihlašovací údaje webového prohlížeče. Útočník dokonce může na dálku monitorovat uživatele. Samsungu již tato chyba byla oznámena loni v listopadu, přičemž oprava pro Samsungy s Androidem 4.2 a výše dorazila letos v březnu. Společnost NowSecure ale uvádí, že problém je ve firmwaru Samsungu stále přítomen, což demonstrovala na Galaxy S6 od amerického operátora Verizon. Ředitel NowSecure, Andrew Hoog, se domnívá, že tato chyba ovlivňuje smartphony Galaxy Note 4, Note 3, S III, S4, S5 i nové Galaxy S6 a Galaxy S6 Edge. Uživatelé jsou podle něj ohroženi i tehdy, pokud klávesnici nepoužívají, tj. mají jako hlavní nastavenu jinou klávesnici. Samotná klávesnice od Samsungu navíc ze systému nejde odebrat.

Klepněte pro větší obrázekKlepněte pro větší obrázek
Oprava by měla přijít brzy přes Samsung Security Policy Update, který je u Samsungů s KNOXem předinstalovaný a defaultně povolen

Než Samsung nabídne softwarovou opravu, je doporučeno, aby uživatelé svůj smartphone připojovali jen ke známým a zabezpečeným Wi-Fi sítím, čímž eliminují možnost útoku typu man-in-the-middle. Útočníci totiž musí být připojeni ke stejné Wi-Fi síti, jako je připojen potenciálně ohrožený uživatel. Krátce po zveřejnění problému přejala tuto zprávu většina světových médií, několik hodin poté se objevila i reakce Samsungu. Ten problém okomentoval následovně: „Samsung bere bezpečnostní hrozby velmi vážně. Jsme si vědomi problému, který se objevil v několika médiích, a jsme připraveníi uživatelům poskytnout to nejnovější mobilní zabezpečení. Samsung KNOX má možnost aktualizovat bezpečnostní politiky na našich telefonech v režimu over-the-air, aby mohly být odstraněny možné zranitelnosti. Aktualizace bezpečnostních politik bude uvolňována v následujících dnech, dále spolupracujeme se společností SwiftKey abychom s ní vyřešili další potenciální rizika.“

Zdroj: Forbes

Diskuze (24) Další článek: Za pár let budou mít mobily samoopravovací displeje

Témata článku: Samsung, Android, Ostatní, Software pro mobily, Aktualizace softwaru, Klávesnice, Samsung Galaxy, Samsung Galaxy A5, Samsung Galaxy A5 (2016), Samsung Galaxy Note, Samsung Galaxy Note 4, Samsung Galaxy S6, Samsung Galaxy S6 128GB, Samsung Galaxy S6 64GB, Samsung Galaxy S6 Edge, Samsung Galaxy S6 Edge 128GB, Samsung Galaxy S6 Edge 64GB, Samsung Galaxy S6 Edge+, Samsung Galaxy S6 Edge+ 64GB, Vstupní brána, Akt, Koncové zařízení, Polití, Datová komunikace, Over the Air, Telefony s Androidem na Heureka.cz




eSIM dostanete do každého smartphonu. Vypadá jako běžná nanoSIM, má však svou paměť i systém

eSIM dostanete do každého smartphonu. Vypadá jako běžná nanoSIM, má však svou paměť i systém

** Víte, že eSIM dnes může mít úplně každý telefon s Androidem ** Budete jen potřebovat kartičku eSIM.me, která vypadá jako nanoSIM ** Podle její ceny se odvíjí kapacita úložiště eSIM profilů

Martin Chroust
SIMeSIMAndroid
Dochází prostor v úložišti? Může pomoct vymazání mezipaměti. Poradíme, jak na to

Dochází prostor v úložišti? Může pomoct vymazání mezipaměti. Poradíme, jak na to

** Dochází vám v Androidu volné místo? ** Je třeba šetřit, kde se dá ** Nejméně bolestivým krokem je odstranění dočasných souborů

Martin Chroust
PaměťJak...Android
S jakou navigací na dovolenou? Vybrali jsme 7 nejlepších aplikací, které vám ukážou cestu

S jakou navigací na dovolenou? Vybrali jsme 7 nejlepších aplikací, které vám ukážou cestu

** Vybrali jsme sedm nejlepších navigací pro Android a iOS ** Na své si přijdou řidiči, cyklisté i pěší ** Většinu aplikací lze používat zdarma

Karel Kilián
Pro turisty a cyklistyPro řidičeNavigace
Google na obchodu Play pustil do oběhu malware obřích rozměrů. Dostal se do více než 60 milionů smartphonů

Google na obchodu Play pustil do oběhu malware obřích rozměrů. Dostal se do více než 60 milionů smartphonů

** Doslova každý týden se na Google Play objeví nový malware ** Ten nejnovější si do mobilů stáhlo na 60 milionů uživatelů ** Vývojáři aplikací vydělávají na přeprodeji citlivých dat

Martin Chroust
Google PlayMalwareAndroid
Další vlna podvodných SMS z čísla 2563. Neotevírejte odkaz a nezadávejte žádné platební údaje

Další vlna podvodných SMS z čísla 2563. Neotevírejte odkaz a nezadávejte žádné platební údaje

** Útočníkům první vlna nestačila, na důvěřivé Čechy útočí dál ** Nalákají vás na údajně nezaplacené clo ** Odkaz neotvírejte a podvodníkům rozhodně nic neplaťte!

Martin Chroust
PodvodOchranaSMS
Nový hit. Tahle appka vám udělá profilovku jako od pouličního ilustrátora

Nový hit. Tahle appka vám udělá profilovku jako od pouličního ilustrátora

** Aplikace NewProfilePic se na Androidu stala hitem ** Můžete si v ní vytvořit profesionálně vypadající profilovky ** Pozor ale na agresivní cenovou politiku za Pro verzi

Martin Chroust
FotografieUmělá inteligenceMobilní aplikace
Sex manželských párů? Jen výjimečně. Ložnice ovládnou roboti s umělou inteligencí

Sex manželských párů? Jen výjimečně. Ložnice ovládnou roboti s umělou inteligencí

** Sex manželských párů jen při zvláštních příležitostech. ** Ložnice ovládnou sexuální roboti s umělou inteligencí. ** I to je jeden ze závěrů Mezinárodní robotické konference.

Filip KůželJiří Liebreich
RobotiSexUmělá inteligence
Další velká věc pro chytré hodinky. Změří cukr v krvi, daleko víc modelů ohlídá teplotu

Další velká věc pro chytré hodinky. Změří cukr v krvi, daleko víc modelů ohlídá teplotu

** Chytré hodinky se prakticky každý rok naučí měřit něco nového ** Letos by se mělo jednat o neinvazivní měření krevního cukru ** Měření teploty kůže by se mělo dostat i na další chytré hodinky

Martin Chroust
Měření glykémieMěřeníChytré hodinky
Nahrávání hovorů na Androidu nadobro skončí. Nepomůže ani obcházení systémových omezení

Nahrávání hovorů na Androidu nadobro skončí. Nepomůže ani obcházení systémových omezení

** Google 11. května vypne nahrávání hovorů na Androidu ** Aplikace nebudou moci k nahrávání využívat API pro Usnadnění ** Uživatelé mají pouze dvě možnosti, jak nahrávání zachovat...

Martin Chroust
Nahrávání hovorůAndroid
Vyzkoušeli jsme levnou autodiagnostiku s Androidem. Servisy ohrnou nos, řidičům bude stačit

Vyzkoušeli jsme levnou autodiagnostiku s Androidem. Servisy ohrnou nos, řidičům bude stačit

** Smartphone s Androidem dnes využijete i pro autodiagnostiku ** Jednotku OBD-II dnes pořídíte za pár stovek ** Co se vše dokáže diagnostika s bezplatným SW v češtině?

Martin Chroust
DiagnostikaPro řidiče