В смартфонах Samsung выявлена уязвимость, производитель обещает устранить ее в ближайшие дни

Специализирующаяся на вопросах компьютерной безопасности компания NowSecure выявила уязвимость в одном из встроенных приложений смартфонов Samsung. Как утверждается, ошибка, связанная с виртуальной клавиатурой SwiftKey, может быть использована злоумышленниками для перехвата управления и запуска программ на привилегированном уровне.
В смартфонах Samsung выявлена уязвимость, производитель обещает устранить ее в ближайшие дни

Особенность уязвимости заключается в том, что указанное приложение не может быть заблокировано или удалено. Даже если оно не используется для ввода по умолчанию, уязвимость сохраняется.

Уточним, что ошибка относится не к самой программе SwiftKey, а связана с ее интеграцией в программную среду смартфонов Samsung Galaxy.

После обнаружения уязвимости в декабре прошлого года компания NowSecure уведомила о ней Samsung, CERT и разработчиков Google Android. Компания Samsung ответила, что предоставила операторам сетей обновление, устраняющее ошибку. К сожалению, специалистам NowSecure неизвестно, как можно проверить, установлено ли обновление на конкретном экземпляре устройства. В качестве профилактической меры они рекомендуют не использовать небезопасные сети Wi-Fi.

В NowSecure вспомнили об уязвимости сейчас, снова обнаружив ее в новых моделях смартфонов. Производитель уже отреагировал на сообщение NowSecure. Как выяснилось, чтобы уязвимостью можно было воспользоваться, необходимо чтобы пользователь и злоумышленник были подключены к одной и той же незащищенной сети Wi-Fi и одновременно загружали языковое обновление, а на устройстве пользователя была отключена система защиты Knox. Учитывая, что система Knox по умолчанию включена, вышеприведенное сочетание условий представляется маловероятным. Тем не менее, в компании пообещали распространить обновление политики безопасности в ближайшие дни. На устройствах с Knox пользователи при этом получат приглашение установить его автоматически. Для других устройств производитель обещает выпустить соответствующее обновление встроенного ПО.