Telefoanele Samsung din seria Galaxy, vizate de un exploit care permite spionarea utilizatorilor

Potrivit dezvăluirilor făcute de un expert în securitate, până la 600 milioane de telefoane Samsung ar conţine o vulnerabilitate care permite substituirea pachetelor de actualizare cu aplicaţii infectate, permiţând unui eventual atacator să intercepteze microfonul şi camera foto, respectiv să citească mesajele stocate în memoria dispozitivului.

Sursa problemelor este mecanismul de actualizare folosit de o versiune modificată de Samsung a tastaturii Swiftkey pentru Android, livrată în formă preinstalată pe telefoane din seria Galaxy S6, Galaxy S5 şi alte modele Galaxy. Aparent, mecanismul de actualizare nu a fost prevăzut cu sistem de criptare pentru fişierele executabile descărcate din internet, făcând posibilă substituirea acestora cu fişiere infectate, dacă telefonul mobil este conectat la o reţea WiFi compromisă.

Exploit-ul a fost demonstrat de Ryan Weltyon – expert al companiei NowSecure, cu ocazia conferinţei Blackhat organizată în această săptămână la Londra, prezentarea ţinută putând fi urmărită în clipul de mai sus.

Telefoanele pre-echipate cu versiunea personalizată a tastaturii SwiftKey includ o funcţie de actualizare automată care presupune contactarea periodică a unui server autorizat, pentru a verifica şi descărca eventuale actualizări sau pachete lingvistice suplimentare. Din păcate conexiunea stabilită nu este securizată corespunzător, permiţând unui hacker să intervină cu un atac de tip man-in-the-middle, direcţionând conexiunea către un server aflat sub controlul său, care substituie pachetele de actualizare cu malware.

Transmise în formă necriptată ca arhive ZIP, actualizările nu trebuie decât să conţină un manifest de securitate purtând o semnătură comunicată dispozitivului mai devreme. Deoarece telefoanele Samsung acordă drepturi de acces elevate pentru instalarea actualizărilor, pachetele executabile compromise reuşesc să ocolească mecanismele de securitate implementate de Google, care în mod normal ar împiedica instalarea aplicaţiilor nesemnate ce nu provin din magazinul PlayStore.

Potrivit aceluiaşi cercetător, vulnerabilitatea descrisă poate fi exploatată chiar dacă Swiftkey nu este setată ca tastatură implicită, singura metodă prin care utilizatorii îşi pot proteja dispozitivele fiind ocolirea reţelelor WiFi nesigure, cum sunt cele folosite în spaţii publice.

Într-un prim răspuns oficial, producătorii SwiftKey au confirmat existenţa aceste vulnerabilităţi pe telefoane Samsung din seria Galaxy, precizând însă că ediţiile standard ale tastaturii SwiftKey, descărcate din magazinul Google Play, respectiv App Store pentru dispozitive Apple, nu conţin această vulnerabilitate.