Более 600 миллионов владельцев мобильных телефонов Samsung подвержены значительному риску в самых продвинутых моделях, включая и недавно вышедший Galaxy S6. Опасность исходит из предустановленной клавиатуры и позволяет злоумышленнику удаленно запустить необходимый вредоносный код.


В смартфонах Samsung серии Galaxy S6, S5, S4 и S4 Mini происходит автоматическое обновление приложения сенсорной клавиатуры SwiftKey, во время которого загружаются из интернета ZIP-архивы с обновлением по незащищенному HTTP-соединению. Причем происходит это по умолчанию, без ведома владельца смартфона. Злоумышленник может перехватить загрузку и отправить вредоносный архив вместо ZIP-архива с обновлением.

По информации NowSecure процесс обновления запускается с доступом на системном уровне, ZIP-файл распаковывается без проверки путей к содержащимся файлам и с полными правами чтения и записи в файловой системе устройства.

«Системное приложение клавиатуры не может быть удалено владельцем, и даже если пользоваться другим инструментом, клавиатура будет продолжать обновляться в фоновом режиме. Данная уязвимость ранее была также обнаружена в Android 4.2 и, вероятнее всего, содержится в более ранних версиях – сообщает Райан Велтон (Ryan Welton)»

Имея доступ к чужому телефону, злоумышленник может:

› Получить доступ в сенсорам, GPS-приемнику, микрофону, камере;

› Секретно установить необходимые вредоносные приложения;

› Вмешаться в работу других приложений;

› Подслушивать входящие и исходящие звонки, читать сообщения;

› Получить доступ к другой персональной информации.

В свою очередь, представители SwiftKey заявили, что приложения, доступные в официальных магазинах Google Play, данной уязвимости не подвержены.

Уже известно, что Samsung начала работу по исправлению бреши, договариваясь с сетями мобильных операторов об установке специального патча. Но сложность заключается в том, что нет точной информации сколько пользователей уже подверглись риску, учитывая сколько мобильных телефонов продано по всему миру и количество задействованных операторов мобильной связи.