Det sårbare tastaturet til Samsung-enhetene er basert på teknologi fra SwiftKey. Men tastaturappene som SwiftKey selv tilbyr til Android- og iOS er ikke berørt. (Foto: SwiftKey)

Samsung

Millioner av Samsung-mobiler har sårbart tastatur

Kan gi angripere omfattende fjerntilgang til enheten.

De fleste nyere smartmobiler fra Samsung er utstyrt med et eget, virtuelt tastatur – Samsung IME – som er basert på teknologi fra SwiftKey. Nå har det blitt kjent at språkoppdateringsfunksjonen til tastaturappen kan utnyttes av ondsinnede til blant annet å plante skadevare på enheten.

Det er sikkerhetsselskapet NowSecure som skal ha oppdaget sårbarheten. Ifølge en denne rapporten, skyldes sårbarheten først og fremst to faktorer.

Stephen Hawking: Skriver dobbelt så raskt med Swiftkey 

Ukryptert

Den ene er at oppdateringsfilene til Samsung IME-tastaturet sendes ukryptert (HTTP) via internett. Dette åpner for man-in-the-middle-angrep dersom enheten er koblet til internett via for eksempel en WLAN-sone som kontrolleres av ondsinnede.

Den andre faktoren som kan ha stor betydning, er at tastaturapplikasjonen er signert av Samsung og kjøres med svært høye privilegier på enheten – ikke root, men nivået under – system.

Ifølge NowSecure har system-brukeren tilgang til å gjøre endringer på mange steder i filsystemet.

Les også: Slik er SwiftKey på iOS 8 

Komplisert

Dersom tastaturappen laster ned en språkfil fra en ondsinnet kilde, kan angripere ved hjelp av en relativt komplisert oppskrift oppnå å plante ondsinnet kode fra språkfilen, som egentlig er et zip-arkiv, på steder hvor koden automatisk vil bli kjørt. Eksempelkode for dette finnes her.

Samsung IME-appen ser etter oppdaterte språkfiler automatisk ved jevne mellomrom, inkludert rett etter oppstart av enheten. Brukerne kan i tillegg selv be appen om å inkludere støtte for flere språk.

Utnyttelse av svakhetene avhenger altså av at tastaturappen faktisk setter i gang nedlasting av én eller flere slike språkfiler samtidig som at enheten bruker en internett-forbindelse som ondsinnede har en viss kontroll over.

Samsung-tastaturet kan ikke avinstalleres uten rooting av enheten, og appen skal etter alt å dømme laste ned språkoppdateringer selv om den ikke er satt til å være standard tastatur-app i systemet.

SwiftKey: Populært Android-tastatur blir gratis 

Lang tid

Ifølge Wall Street Journal skal NowSecure har oppdaget sårbarheten allerede i fjor høst. Til avisen forteller CEO i selskapet, Andrew Hoog, at Samsung ble informert om dette i november i fjor. Den 31. desember skal Samsung ha bedt om et år til å fikse problemet.

Etter mye fram og tilbake skal Samsung i mars har gitt beskjed om at selskapet hadde lagd en sikkerhetsfiks som var blitt sendt til mobiloperatører. Samtidig skal Samsung og NowSecure blitt enige om en frist på tre måneder før NowSecure offentliggjorde detaljer om sårbarheten.

I forrige uke skal ansatte i NowSecure ha kjøpt inn splitter nye Galaxy S6-mobiler fra de amerikanske operatørene Verizon og Sprint.

Begge var fortsatt sårbare. En liste over andre, sårbare Samsung-enheter finnes her.

For Work: Android frir til bedriftene 

SwiftKey

SwiftKey, som har lagd den grunnleggende teknologien i Samsungs tastatur-app, opplyste i et blogginnlegg i går at sårbarheten ikke har noe som helst å gjøre med appene selskapet selv tilby gjennom Google Play og Apple App Store.

I blogginnlegget, som av ukjente årsaker har blitt slettet i ettertid (men som kan leses her), gjengir SwiftKey også en uttalelse fra en talsperson i Samsung.

– Samsung tar kommende sikkerhetstrusler svært alvorlig. Vi er klar over dette nylige problemet som har blitt omtalt av flere medier, og vil tilby det siste innen mobil sikkerhet, heter det i uttalelsen.

– Samsung Knox har muligheten til å oppdatere sikkerhetspolicyer på telefoner, via nettet, for å hindre potensielle sårbarheter forårsaket av dette problemet. Utrullingen av sikkehetspolicy-oppdateringer vil starte om noen få dager.

Det opplyses også at Samsung vil samarbeide med SwiftKey om sikkerhet i tiden framover.

Mobil sikkerhet: Dette er Knox 2.0 

Til toppen