NowSecure società specializzata nel fornire soluzioni di sicurezza per periferiche mobile ha annunciato oggi l’esistenza di un bug che affligge la tastiera di alcuni device targati Samsung. In particolare il Bug riguarda Swiftkey una tastiera prodotta da terze parti e installata di default su gran parte dei cellulari marcati Samsung ed anche sul recente Samsung Galaxy S6.
Sotto particolari condizioni sarebbe possibile per un malintenzionato utilizzare i livelli di privilegio alti con cui la tastiera è installata per assumere il controllo del telefonino. Potenzialmente sono a rischio oltre 600.000.000 di Smartphone.
Lo stato dell’arte e la patch
Il bug di sicurezza è stato rilevato già nel Dicembre 2014 e prontamente comunicato a Samsung e al CERT, l’ente americano che controlla la sicurezza dei sistemi informatici, che ha assegnato al problema l’identificativo CVE-2015-2865. Contemporaneamente è stato allertato anche il Google Android security team.
Tutti gli attori hanno reagito prontamente e Samsung ha iniziato a diramare una patch per correggere il problema, tuttavia non è noto se i vari operatori nazionali abbiano applicato la patch, inoltre è complicato determinare quanti device siano attualmente ancora afflitti dal problema.
All’indirizzo https://www.nowsecure.com/keyboard-vulnerability/ viene pubblicata una lista con i vari operatori e modelli di cellulare che ancora risultano afflitti dalla vulnerabilità, tuttavia al momento sono indicati solo gli operatori americani.
Cosa fare per mettersi al riparo
Nowsecure informa che non è possibile rimuovere la tastiera, per cui le soluzioni possibili sono poche, principalmente evitare network wi-fi poco sicuri e contattare eventualmente il proprio operatore per conoscere lo stato d’applicazione della patch e gli eventuali tempi per riceverla.
I rischi connessi a questo bug sono di diverso genere, un malintenzionato potrebbe
- Accedere ai sensori e alle risorse come il GPS, la fotocamera e il microfono
- Installare applicazioni malevoli senza che l’utente se ne accorga
- Raccogliere informazioni su come funzionano le altre App o attività svolte sul telefono
- Intercettare messaggi in entrata/uscita o chiamate vocali
- Tentare di accedere a informazioni personali come fotografie o messaggi di testo
Note tecniche
In realtà un post più tecnico da Ryan Welton, ricercatore di NowSecurity che ha individuato il problema, spiega come il bug sia connesso ai privilegi con cui la testiera è installata. L’esempio prodotto da Ryan Welton mostra come per sua natura la tastiera Swift possa scaricare dei file di linguaggio in una particolare directory del cellulare e salvare questi file con i privilegi dell’utente System, ovvero un utente che gode di permessi piuttosto elevati all’interno del sistema operativo.
In un ambiente wi-fi poco sicuro un utente malintenzionato potrebbe indirizzare le richieste di rete ad un indirizzo fasullo e fare scaricare dunque al telefonino file di lingua contenente software dannoso per lo smartphone invece dei file richiesti. Subito dopo attraverso tecniche per la verità abbastanza complicate potrebbe fare in modo di eseguire il software pericoloso.
In attesa di avere informazioni sulla corretta applicazione della patch è importante dunque assicurarsi di utilizzare connessioni wi-fi sicure e non scaricare file di lingua alternativi attraverso la tastiera
UPDATE 17/06/2015
In realtà i rischi connessi a questo bug sono bassi. Per poter essere colpito dalla vulnerabilità un utente dovrebbe trovarsi in una rete wi-fi costruita appositamente allo scopo e l’utente dovrebbe scaricare un file di lingua dall’interno di quel network specifico. Una combinazione di fattori certamente possibili ma non estremamente diffusi
