Εκατομμύρια κάτοχοι κινητών τηλεφώνων Samsung τα οποία ενσωματώνουν το λειτουργικό σύστημα της Google, Android, θα μπορούσαν να πέσουν θύματα εκμετάλλευσης από χάκερς, αναφέρει σε δημοσίευμά της η εφημερίδα The Guardian, εξαιτίας μιας ευπάθειας (bug) που υπάρχει στο πληκτρολόγιο αφής που είναι εγκατεστημένο στις συσκευές.
Η ευπάθεια, η οποία έχει εντοπιστεί στο πληκτρολόγιο που είναι εγκατεστημένο σε φορητές συσκευές της Samsung με Android, παρέχει τη δυνατότητα σε χάκερς να αποκτήσουν τον πλήρη έλεγχο μιας από τις 600 εκατομμύρια φορητές συσκευές που είναι ευάλωτες στο bug. Οι χάκερς αποκτούν τη δυνατότητα να υποκλέψουν κλήσεις, δεδομένα, να ενεργοποιήσουν εξ αποστάσεως την κάμερα, το μικρόφωνο, αλλά και το GPS της εκάστοτε συσκευής.
Η ευπάθεια αυτή έχει ανακαλυφθεί εδώ και μήνες, ωστόσο μέχρι στιγμής δεν έχει γίνει σαφές εάν έχει διατεθεί το ανάλογο διορθωτικό. Το σφάλμα αφορά στον μηχανισμό ενημέρωσης του ενσωματωμένου πληκτρολογίου. Ο μηχανισμός αυτός αναζητά, είτε καθημερινά είτε σε εβδομαδιαία βάση, ενημερώσεις που αφορούν στη γλώσσα του πληκτρολογίου.
Την ευπάθεια είχαν ανακαλύψει ερευνητές της εταιρείας ασφαλείας NowSecure το περασμένο έτος και ενημέρωσαν την Samsung τον Δεκέμβριο. Η Samsung είχε ζητήσει από την εταιρεία να μη δημοσιοποιήσει το θέμα έως ότου αναπτύξει ένα διορθωτικό για την επίλυση του προβλήματος. Η NowSecure είχε ενημερώσει και την ομάδα ασφαλείας του Android της Google σχετικά με το bug.
Ωστόσο, 6 μήνες αργότερα παραμένει ασαφές εάν έχει διατεθεί το διορθωτικό μέσω κάποιας ενημέρωσης της Samsung.
«Δυστυχώς, η ευπάθεια στην εφαρμογή του πληκτρολογίου δεν είναι δυνατό να απεγκατασταθεί ή να απενεργοποιηθεί», δήλωσε ο Ράιαν Γουέλτον, ερευνητής της NowSecure. «Δεν είναι εύκολο για τον χρήστη μιας Samsung φορητής συσκευής να καταλάβει εάν η εταιρεία έχει διαθέσει κάποιο διορθωτικό για το πρόβλημα μέσω ενημέρωσης του λογισμικού», πρόσθεσε ο ίδιος.
Όπως αναφέρει στο δημοσίευμά της η Guardian, το σφάλμα έγκειται στην ενσωμάτωση του πληκτρολογίου της εταιρείας SwiftKey στο λογισμικό του πληκτρολογίου της Samsung.
«Δυστυχώς ενημερωθήκαμε για αυτό το σφάλμα μόλις αυτή την Τρίτη», δήλωσε ο Τζο Μπρέιντ, υπεύθυνος μάρκετινγκ της SwiftKey. «Εργαζόμαστε σκληρά προκειμένου να παράσχουμε υποστήριξη και βοήθεια στη Samsung για τη διόρθωση του προβλήματος», πρόσθεσε ο ίδιος.
Εάν η Android συσκευή της Samsung συνδεθεί με ένα κακόβουλο Wi-Fi δίκτυο τη στιγμή που η εφαρμογή του πληκτρολογίου πραγματοποιεί αναζήτηση για ενημερώσεις, δίνεται η ευκαιρία σε κάποιον χάκερ να παρέμβει, αποκτώντας σχεδόν πλήρη πρόσβαση στη φορητή συσκευή. Σύμφωνα με τη NowSecure, οι χάκερς έχουν τη δυνατότητα να αποκτήσουν πρόσβαση εξ αποστάσεως στους αισθητήρες ενός smartphone, όπως το GPS, η κάμερα ή το μικρόφωνο, δίνοντάς τους την ευκαιρία να υποκλέψουν ευαίσθητα προσωπικά δεδομένα.
Το να εγκαταστήσει ένας χρήστης κάποιο άλλο πληκτρολόγιο, όπως το πλήρες πληκτρολόγιο της SwiftKey, δεν διορθώνει το σφάλμα, καθώς το πληκτρολόγιο της Samsung συνεχίζει να τρέχει στο background.
«Δεν υπάρχουν και πολλά πράγματα που μπορείτε να κάνετε, εκτός από το να αποφεύγετε ασύρματα δίκτυα που δεν εμπιστεύεστε, τα οποία θα μπορούσε να εκμεταλλευτεί κάποιος απατεώνας για να εισχωρήσει παράνομα στη συσκευή σας», δήλωσε ο Πολ Ντάκλιν της εταιρείας ασφαλείας Sophos. «Το σημαντικό είναι ότι ο απατεώνας δεν μπορεί να εκμεταλλευτεί την ευπάθεια αυτή όποτε επιθυμεί: πρέπει ο χρήστης να έχει συνδεθεί σε κακόβουλο Wi-Fi δίκτυο τη στιγμή που πραγματοποιείται η ενημέρωση του πληκτρολογίου», πρόσθεσε ο ίδιος.
Όπως αναφέρει η Guardian, ο αριθμός των συσκευών της Samsung που έχουν επηρεαστεί από αυτή την ευπάθεια είναι μεγάλος, ενώ σε αυτές περιλαμβάνονται τα νέα μοντέλα Galaxy S της εταιρείας, όπως τα S6, S5 και S4.
Εκπρόσωπος της Samsung δήλωσε στην εφημερίδα ότι η εταιρεία κάνει ό,τι είναι δυνατόν για την ανάπτυξη ενός διορθωτικού. «Η Samsung παίρνει πολύ σοβαρά την οποιαδήποτε απειλή στην ασφάλεια των συσκευών της. Είμαστε ενήμεροι για το πρόσφατο θέμα που έχει προκύψει και δεσμευόμαστε να παρέχουμε την τελευταία λέξη της τεχνολογίας σε θέματα ασφαλείας», πρόσθεσε ο ίδιος.