6 월 19 일 업데이트: 삼성은 익스플로잇에 대한 픽스를 얻기 위해 수행 할 수있는 작업에 대해 자세히 설명합니다.
업데이트 6 월 18 일: Samsung은 Android Central 에 운영자의 전체 시스템 업데이트를 기다릴 필요가없는 보안 업데이트를 준비 중이라고 말합니다.
삼성의 주식 키보드는 전화로 제공되는 키보드와 마찬가지로 오늘날 보안 회사 인 NowSecure의 핵심 주제로, 코드를 휴대 전화에서 원격으로 실행할 수있는 결함에 대해 자세히 설명합니다. 삼성의 내장 키보드는 SwiftKey 소프트웨어 개발 키트를 사용하여 예측 및 언어 팩을 사용합니다.
NowSecure 는 "삼성 키보드 보안 위험 공개: 전 세계적으로 6 억 개 이상의 기기에 영향을 미쳤습니다." 무서운 소리입니다. (특히 밝은 빨간색 배경과 일반적으로 죽은 얼굴로 알려진 무서운 이미지가 포함 된 경우)
그래서 걱정해야합니까? 아마 아닙니다. 그것을 분해하자.
가장 먼저: Google Play 또는 Apple App Store에서 다운로드 할 수있는 SwiftKey 버전이 아니라 Galaxy S6, Galaxy S5, Galaxy S4 및 GS4 Mini에서 삼성의 주식 키보드에 대해 이야기하고 있음을 확인했습니다.. 그것들은 매우 다른 두 가지입니다. (삼성 전화를 사용하지 않는 경우에는이 중 어느 것도 귀하에게 적용되지 않습니다.)
우리는 SwiftKey에 연락하여 다음과 같은 진술을했습니다.
우리는 SwiftKey SDK를 사용하는 Samsung 키보드와 관련된 보안 문제에 대한 보고서를 보았습니다. Google Play 또는 Apple App Store를 통해 제공되는 SwiftKey 키보드 앱이이 취약점의 영향을받지 않는 것을 확인할 수 있습니다. 우리는이 방식에 대한보고를 매우 진지하게 받아들이고 있으며 현재 더 조사하고 있습니다.
우리는 또한 하루 일찍 삼성에 연락했지만 아직 아무런 의견도받지 못했습니다. 우리는 하나를 얻을 때 업데이트합니다.
익스플로잇에 대한 NowSecure의 기술 블로그를 통해 우리는 무슨 일이 일어나고 있는지 엿볼 수 있습니다. (자신이 읽은 경우 "Swift"라는 말은 "SwiftKey"를 의미합니다.) 안전하지 않은 액세스 포인트 (예: 개방형 Wi-Fi 네트워크)에 연결된 경우 누군가가 가로 채서 변경할 수 있습니다 SwiftKey 언어 팩은 업데이트 될 때 (예: 개선 된 예측 및 그렇지 않은 이유 때문에 정기적으로 수행) 공격자로부터 전화 데이터를 전송합니다.
피기 백 할 수 있다는 것은 나쁜 일입니다. 그러나 다시, 그것은 당신이 처음에 안전하지 않은 네트워크에 있는지에 달려 있습니다 (무선해서는 안됩니다-무선 보안을 사용하지 않거나 VPN을 고려하는 공개 핫스팟을 피하십시오). 그리고 누군가가 처음에는 사악한 일을하기 위해 거기에 있습니다.
그리고 그것은 당신이 패치되지 않은 장치를 가지고 있는지에 달려 있습니다. NowSecure 자체가 지적했듯이 삼성은 이미 통신 사업자에게 패치를 제출했습니다. 얼마나 많은 사람들이 패치를했는지 또는 궁극적으로 얼마나 많은 장치가 취약성을 유지하는지 모릅니다.
그것들은 궁극적으로 통제해야하는 운영자의 중요성을 강조하지만, 실제로 패치해야하는 다른 학문적 착취 (실제 시사점을 갖는 것과는 대조적으로)에 추가되는 많은 변수와 미지수입니다. 업데이트를 더 빨리 받기 위해 미국 전화 업데이트.
6 월 17 일 업데이트: SwiftKey는 블로그 게시물에서 다음과 같이 말합니다.
키보드로 단어 예측을 가능하게하는 핵심 기술을 삼성에 제공합니다. 이 기술이 삼성 장치에 통합 된 방식에 보안 취약점이 도입 된 것으로 보입니다. 우리는이 모호하지만 중요한 보안 문제를 해결하기 위해 오랜 파트너 삼성을 지원하기 위해 최선을 다하고 있습니다.
문제의 취약점은 위험이 낮습니다. 사용자는 올바른 도구를 사용하는 해커가 자신의 장치에 액세스하려는 의도로 손상된 네트워크 (스푸핑 된 공용 Wi-Fi 네트워크 등)에 연결되어 있어야합니다. 이 액세스는 손상된 키보드에 연결된 상태에서 사용자 키보드가 특정 시간에 언어 업데이트를 수행하는 경우에만 가능합니다.
