Atualização em 19 de junho: A Samsung detalhou o que você pode fazer para garantir a correção da exploração.
Atualização em 18 de junho: a Samsung informa ao Android Central que está preparando uma atualização de segurança que não precisará esperar uma atualização completa do sistema dos operadores.
O teclado de ações da Samsung - como o que é enviado em seus telefones - é o assunto de hoje da peça de segurança NowSecure, que detalha uma falha que tem a possibilidade de permitir que o código seja executado remotamente no seu telefone. O teclado embutido da Samsung usa o kit de desenvolvimento de software SwiftKey para pacotes de previsão e idioma, e foi aí que a exploração foi encontrada.
O NowSecure encabeçou tudo: "Risco de segurança do teclado Samsung divulgado: mais de 600 milhões de dispositivos em todo o mundo". Isso é assustador. (Especialmente quando inclui fundos vermelhos brilhantes e imagens assustadoras do que geralmente é conhecido como rosto morto.)
Então você precisa se preocupar? Provavelmente não. Vamos dividir.
A primeira coisa é a primeira: foi confirmado para nós que estamos falando sobre o teclado padrão da Samsung no Galaxy S6, Galaxy S5, Galaxy S4 e GS4 Mini - e não a versão do SwiftKey que você pode baixar no Google Play ou na Apple App Store. Essas são duas coisas muito diferentes. (E se você não estiver usando um telefone Samsung, obviamente nada disso se aplica a você.)
Entramos em contato com a SwiftKey, que nos deu a seguinte declaração:
Vimos relatos de um problema de segurança relacionado ao teclado de ações da Samsung que usa o SwiftKey SDK. Podemos confirmar que o aplicativo SwiftKey Keyboard disponível no Google Play ou na Apple App Store não é afetado por esta vulnerabilidade. Levamos os relatórios dessa maneira muito a sério e atualmente estamos investigando mais.
Também contatamos a Samsung no início do dia, mas ainda não recebemos nenhum comentário. Atualizaremos se e quando recebermos um.
Lendo o blog técnico do NowSecure sobre a exploração, podemos ter uma idéia do que está acontecendo. (Se você leu você mesmo, observe que onde eles dizem "Swift", eles significam "SwiftKey".) Se você estiver conectado a um ponto de acesso não seguro (como uma rede Wifi aberta), é possível que alguém intercepte e altere os pacotes de idiomas do SwiftKey enquanto eles são atualizados (o que eles fazem periodicamente por razões óbvias - previsão melhorada e outras coisas), enviando os dados do telefone dos atacantes.
Ser capaz de pegar carona é ruim. Mas, novamente, depende de você estar em uma rede não segura em primeiro lugar (o que você realmente não deveria estar - evite pontos de acesso públicos que não usam segurança sem fio ou consideram uma VPN). E alguém estar lá para fazer algo nefasto em primeiro lugar.
E isso depende de você ter um dispositivo sem patch. Como o próprio NowSecure aponta, a Samsung já enviou patches para as operadoras. Apenas não tem idéia de quantos lançaram o patch ou, em última análise, quantos dispositivos permanecem vulneráveis.
Essas são muitas variáveis e incógnitas que, em última análise, resultam em outra exploração acadêmica (em oposição a uma que tem implicações no mundo real) que realmente precisa (e foi) corrigida, embora ressalte a importância dos operadores que controlam atualizações para telefones nos EUA para obter atualizações mais rapidamente.
Atualização 17 de junho: SwiftKey, em uma postagem no blog, diz:
Fornecemos à Samsung a tecnologia principal que fornece as previsões de palavras em seus teclados. Parece que a maneira como essa tecnologia foi integrada nos dispositivos Samsung introduziu a vulnerabilidade de segurança. Estamos fazendo todo o possível para apoiar nosso parceiro de longa data Samsung em seus esforços para resolver esse problema de segurança obscuro, mas importante.
A vulnerabilidade em questão apresenta um risco baixo: um usuário deve estar conectado a uma rede comprometida (como uma rede Wi-Fi pública falsificada), em que um hacker com as ferramentas certas pretendeu especificamente obter acesso ao seu dispositivo. Esse acesso só é possível se o teclado do usuário estiver realizando uma atualização de idioma naquele momento específico, enquanto estiver conectado à rede comprometida.
