Un ricercatore esperto di problematiche legate alla sicurezza ha scoperto una vulnerabilità nella tastiera IME e nella versione di SwiftKey preinstallate da Samsung sui sui dispositivi mobili della serie Galaxy. Nel corso di una dimostrazione durante l’ultima conferenza Blackhat svoltasi a Londra, Ryan Welton ha spiegato che il problema risiede nel meccanismo utilizzato da Samsung per verificare la presenta di eventuali aggiornamenti delle due tastiere.
Un aggressore può infatti concretamente sferrare un attacco man-in-the-middle sostituendosi al server remoto (legittimo) di Samsung e presentando al dispositivo mobile Galaxy (Galaxy S6, S5, così come molti altri prodotti della stessa linea) una versione modificata della tastiera.
All’interno del pacchetto d’installazione il malintenzionato può inserire codice nocivo spiando di fatto tutte le comunicazioni dell’utente e prendendo eventualmente possesso di fotocamera e microfono.
Welton ha criticato Samsung aggiungendo che l’aggiornamento della tastiera non avviene utilizzando un canale cifrato e che il contenuto dell’archivio Zip è facilmente modificabile. Inoltre, Samsung assegnerebbe diritti estremamente ampi alla procedura di aggiornamento della tastiera che possono essere sfruttati dall’aggressore per eseguire operazioni molto delicate.
Gli sviluppatori della tastiera SwiftKey hanno voluto precisare che il problema riguarda solamente la versione personalizzata da Samsung. L’applicazione SwiftKey distribuita mediante Google Play sarebbe esente da qualunque problema di sicurezza noto e non sarebbe comunque affetta dalla vulnerabilità individuata da Welton.
Abbiamo recensito SwiftKey nell’articolo Tastiera intelligente per Android, SwiftKey gratis. Interessante anche la tastiera di Google per la scrittura a mano libera: Scrivere a mano libera su Android con Google.
Suggeriamo anche la lettura dell’articolo Dettare SMS, messaggi e testi su Android.