2015/06/17

SwiftKey pré-instalado nos Samsungs vulnerável a ataques


Parece que não há forma de se taparem todos os "buracos" nos smartphones modernos; e agora surge mais uma potencial vulnerabilidade, que afecta os smartphones Samsung (incluindo os Galaxy S6) que vêm com o popular teclado SwiftKey pré-instalado de origem.


Investigadores de segurança descobriram que nestes equipamentos, o SwiftKey procura por actualizações aos pacotes de línguas utilizando uma ligação não-encriptada, tornando-o vulnerável a ataques. Um hacker que consiga interceptar as comunicações pode redireccionar esses pedidos para um servidor sob o seu controlo, onde disponibilizará actualizações maliciosas que poderão possibilitar o roubo de dados dos utilizadores.

O SwiftKey já veio acalmar os utilizadores, dizendo que esta vulnerabilidade não afecta quem estiver a usar as versões do teclado que estão disponíveis no Google Play e App Store, e que estão a investigar o que se passar nesta versão usada pela Samsung; mas o mais crítico é que quem tiver um Samsung afectado não poderá simplesmente desinstalar o teclado e reinstalar uma versão segura. Uma ver que o mesmo está incluído no sistema, a vulnerabilidade só pode ser removida por meio de uma actualização disponibilizada pelo operador.

Importará referir que a "falha" não é da responsabilidade do SwiftKey, mas sim da forma como a Samsung o integrou nos seus equipamentos. E mais grave ainda, esta vulnerabilidade já tinha sido reportada à Samsung em Novembro de 2014, mas ainda agora, mesmo os recentes Galaxy S6 da Verizon e da Sprint continua a estar presente.


Custaria assim tanto deixar que estes "extras" estivessem disponíveis como apps normais que os utilizadores pudessem remover ou actualizar sem necessitar de esperar pelos operadores?

Actualização: a Samsung promete corrigir o problema já nos próximos dias.


1 comentário: