Aggiornamento del 19 giugno: Samsung ha spiegato cosa puoi fare per assicurarti di ottenere la correzione per l'exploit.
Aggiornamento del 18 giugno: Samsung comunica ad Android Central che sta preparando un aggiornamento di sicurezza che non dovrà attendere un aggiornamento completo del sistema da parte degli operatori.
La tastiera stock di Samsung - come quella fornita sui suoi telefoni - è oggi oggetto di un pezzo della società di sicurezza NowSecure che dettaglia un difetto che ha la possibilità di consentire l'esecuzione del codice in remoto sul telefono. La tastiera integrata di Samsung utilizza il kit di sviluppo software SwiftKey per la previsione e i language pack, ed è qui che è stato trovato l'exploit.
NowSecure ha intitolato l'intera faccenda con "Rischio relativo alla sicurezza della tastiera Samsung: oltre 600 milioni di dispositivi in tutto il mondo". È roba dal suono spaventoso. (Soprattutto quando include sfondi rosso brillante e immagini spaventose di ciò che generalmente è noto come un volto morto.)
Quindi devi preoccuparti? Probabilmente no. Analizziamolo.
Prima di tutto: ci è stato confermato che stiamo parlando della tastiera stock di Samsung su Galaxy S6, Galaxy S5, Galaxy S4 e GS4 Mini - e non della versione di SwiftKey che puoi scaricare da Google Play o dall'App Store di Apple. Sono due cose molto diverse. (E se non stai usando un telefono Samsung, ovviamente nulla di tutto ciò si applica comunque a te.)
Abbiamo raggiunto SwiftKey, che ci ha dato la seguente dichiarazione:
Abbiamo riscontrato segnalazioni di un problema di sicurezza relativo alla tastiera stock Samsung che utilizza l'SDK SwiftKey. Possiamo confermare che l'app SwiftKey Keyboard disponibile tramite Google Play o l'App Store di Apple non è interessata da questa vulnerabilità. Prendiamo molto seriamente le segnalazioni di questo modo e stiamo attualmente indagando ulteriormente.
Abbiamo anche contattato Samsung all'inizio della giornata, ma non abbiamo ancora ricevuto alcun commento. Aggiorneremo se e quando ne avremo uno.
Leggendo il blog tecnico di NowSecure sull'exploit possiamo dare un'occhiata a quello che sta succedendo. (Se lo leggi tu stesso, nota che dove dicono "Swift" significano "SwiftKey".) Se sei connesso a un punto di accesso non sicuro (come una rete Wifi aperta), è possibile che qualcuno intercetti e modifichi i language pack di SwiftKey mentre si aggiornano (cosa che fanno periodicamente per ovvie ragioni - previsione migliorata e cosa no), invio dei dati del telefono dagli aggressori.
Essere in grado di cavalluccio che è male. Ma, ancora una volta, dipende dal fatto che tu sia su una rete non sicura in primo luogo (cosa che non dovresti davvero essere - evita gli hotspot pubblici che non usano la sicurezza wireless o consideri una VPN). E qualcuno che è lì per fare qualcosa di malvagio in primo luogo.
E dipende dal fatto che tu abbia un dispositivo senza patch. Come sottolineato da NowSecure, Samsung ha già inviato patch ai gestori. Non ha idea di quanti abbiano spinto la patch o, in definitiva, quanti dispositivi rimangano vulnerabili.
Quelle sono molte variabili e incognite che alla fine si sommano a un altro exploit accademico (al contrario di uno che ha implicazioni nel mondo reale) che in effetti deve (ed è stato) corretto, sebbene sottolinei l'importanza degli operatori che controllano aggiornamenti ai telefoni negli Stati Uniti per ricevere gli aggiornamenti più rapidamente.
Aggiornamento del 17 giugno: SwiftKey, in un post sul blog, dice:
Forniamo a Samsung la tecnologia di base che alimenta le previsioni delle parole nella loro tastiera. Sembra che il modo in cui questa tecnologia è stata integrata sui dispositivi Samsung abbia introdotto la vulnerabilità della sicurezza. Stiamo facendo tutto il possibile per supportare il nostro partner di lunga data Samsung nei loro sforzi per risolvere questo oscuro ma importante problema di sicurezza.
La vulnerabilità in questione presenta un basso rischio: un utente deve essere connesso a una rete compromessa (come una rete Wi-Fi pubblica falsificata), dove un hacker con gli strumenti giusti ha espressamente inteso ottenere l'accesso al proprio dispositivo. Questo accesso è quindi possibile solo se la tastiera dell'utente sta eseguendo un aggiornamento della lingua in quel momento specifico, mentre è connessa alla rete compromessa.
![Gestisci i dati sulla posizione nelle foto che scatti [privacy e sicurezza]](https://img.androidermagazine.com/img/news/417/manage-location-data-pictures-you-take-privacy.jpg "Gestisci i dati sulla posizione nelle foto che scatti [privacy e sicurezza]")