Mise à jour du 19 juin: Samsung explique en détail ce que vous pouvez faire pour vous assurer d'obtenir la solution à l'exploit.
Mise à jour du 18 juin: Samsung informe Android Central de la préparation d’une mise à jour de sécurité qui n’attendra pas une mise à jour complète du système par les opérateurs.
Le clavier standard de Samsung - comme dans celui livré avec ses téléphones - fait l’objet aujourd’hui d’une pièce de la société de sécurité NowSecure qui détaille une faille pouvant permettre l’exécution de code à distance sur votre téléphone. Le clavier intégré de Samsung utilise le kit de développement logiciel SwiftKey pour les modules de prévision et les modules linguistiques, et c'est là que l'exploit a été trouvé.
NowSecure a mis en avant le sujet "Le risque de sécurité lié au clavier Samsung: plus de 600 millions d'appareils dans le monde ont été touchés". C'est effrayant. (Surtout quand il comprend des fonds rouge vif et des images effrayantes de ce qu'on appelle généralement un visage mort.)
Alors avez-vous besoin de vous inquiéter? Probablement pas. Faisons le décomposer.
La première chose à faire: il nous a été confirmé que nous parlons du clavier standard de Samsung sur le Galaxy S6, du Galaxy S5, du Galaxy S4 et du GS4 Mini - et non de la version de SwiftKey que vous pouvez télécharger à partir de Google Play ou de l'Apple App Store.. Ce sont deux choses très différentes. (Et si vous n'utilisez pas un téléphone Samsung, cela ne vous concerne évidemment pas de toute façon.)
Nous avons contacté SwiftKey, qui nous a donné la déclaration suivante:
Nous avons vu des rapports faisant état d'un problème de sécurité lié au clavier Samsung standard utilisant le kit de développement logiciel SwiftKey SDK. Nous pouvons confirmer que l'application SwiftKey Keyboard disponible sur Google Play ou sur l'Apple App Store n'est pas affectée par cette vulnérabilité. Nous prenons très au sérieux les informations de cette manière et enquêtons actuellement davantage.
Nous avons également contacté Samsung plus tôt dans la journée, mais nous n’avons encore reçu aucun commentaire. Nous mettrons à jour si et quand nous en aurons un.
En parcourant le blog technique de NowSecure sur l'exploit, on peut avoir un aperçu de ce qui se passe. (Si vous le lisez vous-même, notez que lorsqu'ils sont «Swift», ils signifient «SwiftKey».) Si vous êtes connecté à un point d'accès non sécurisé (tel qu'un réseau Wifi ouvert), il est possible que quelqu'un intercepte et modifie lors de la mise à jour des modules de langue SwiftKey (ce qu’ils font régulièrement pour des raisons évidentes - prédiction améliorée, etc.), en envoyant les données de votre téléphone à partir des attaquants.
Être capable de greffer c'est mauvais. Mais, encore une fois, cela dépend du fait que vous êtes sur un réseau non sécurisé en premier lieu (ce que vous ne devriez vraiment pas faire - évitez les points d'accès publics qui n'utilisent pas la sécurité sans fil ou envisagez un VPN). Et quelqu'un qui est là pour faire quelque chose de néfaste en premier lieu.
Et cela dépend du fait que vous ayez un appareil non corrigé. Comme NowSecure le souligne, les correctifs de Samsung ont déjà été soumis aux opérateurs. Il n'a simplement aucune idée du nombre de personnes qui ont poussé le correctif ou, finalement, du nombre de périphériques qui restent vulnérables.
Ce sont beaucoup de variables et d’inconnues qui finissent par s’ajouter à un autre exploit académique (par opposition à un qui a des implications réelles) qui doit effectivement (et a été) corrigé, bien que cela souligne l’importance des opérateurs qui contrôlent mises à jour de téléphones aux États-Unis pour que les mises à jour soient diffusées plus rapidement.
Mise à jour du 17 juin: SwiftKey, dans un article de blog, dit:
Nous fournissons à Samsung la technologie de base qui alimente les prédictions de mots dans leur clavier. Il semble que la manière dont cette technologie a été intégrée sur les appareils Samsung a introduit une vulnérabilité en matière de sécurité. Nous faisons tout ce qui est en notre pouvoir pour soutenir notre partenaire de longue date, Samsung, dans ses efforts pour résoudre ce problème de sécurité obscur mais important.
La vulnérabilité en question pose un faible risque: un utilisateur doit être connecté à un réseau compromis (tel qu'un réseau Wi-Fi public usurpé), où un pirate informatique doté des outils appropriés est spécifiquement destiné à accéder à son appareil. Cet accès n'est alors possible que si le clavier de l'utilisateur effectue une mise à jour de la langue à cette heure spécifique, alors qu'il est connecté au réseau compromis.
