18/06/2015 di Redazione

Una Galaxy di tastiere vulnerabili, 600 milioni di Samsung esposti

La Swiftkey preinstallata sui centinaia di milioni di terminali Samsung Galaxy S4, S4 Mini, S5 ed S6 contiene una vulnerabilità: durante gli aggiornamenti automatici, i file eseguibili non vengono crittografati. Un hacker potrebbe dunque sostituirli per r

immagine.jpg

Aiuta a scrivere più rapidamente e facilmente con lo smartphone, ma è pericolosa: la Swiftkey, popolare applicazione di tastiera virtuale per dispositivi Android e iOS, ha un bug di sicurezza che potrebbe permettere a un malintenzionato di sferrare vari tipi di attacco, fra cui l’intercettazione delle conversazioni e addirittura la possibilità di catturare immagini con la fotocamera del telefono. Non sono i proprietari di iPhone a doversi preoccupare, bensì circa 600 milioni di possessori di modelli Samsung Galaxy, dall’S4 ed S4 Mini all’S5 e al più recente S6.

Della vulnerabilità, individuata da NowSecure, è stata data notizia al Cert, al team Android di Google e a Samsung, con la promessa di quest’ultima di una rapida risoluzione del problema, entro pochi giorni. Il rischio però è serio: la versione personalizzata di SwiftKey installata sui Galaxy lascerebbe una “porta aperta” durante le procedure di aggiornamento automatico che lo smartphone esegue per molte applicazioni.

Durante l’update, infatti, i file eseguibili non vengono criptati e un eventuale criminale informatico potrebbe intercettarli e sostituirli con file infetti, realizzando il classico attaccho man-in-the-middle. Il codice nocivo installato sullo smartphone potrebbe dunque consentire di scaricare altre app, di intercettare messaggi e chiamate, di visualizzare password e addirittura di accedere a Gps, microfoni e fotocamere dei dispositivi per tracciare gli spostamenti dell’utente, registrare conversazioni e scattare foto.

Ryan Welton, il ricercatore di NowSecure autore dell’analisi, ha verificato che il bug può essere sfruttato anche se l’utente adopera una tastiera diversa da quella predefinita. Nessun rischio, invece, per chi installi su un qualsiasi telefono Android l’applicazione SwiftKey scaricabile dal Google Play Store, che non è affetta dalla vulnerabilità. Questa tastiera “predittiva” consente di scrivere più rapidamente grazie a funzioni di completamento automatico e personalizzazione, nonché sostituendo alla digitazione lo “swiping”, cioè facendo scorrere il dito sulle lettere delle parole da comporre.

 

 

In attesa di una patch (rilasciata da Samsung e/o dai carrier di telecomunicazione, visto che da loro dipendono molti degli aggiornamenti automatici di applicazioni preinstallate), per i possessori di Samsung Galaxy il consiglio è quello di evitare di connettersi a reti WiFi non protette. Anche un hacker poco esperto, infatti, potrebbe intercettare i file non crittografati durante un eventuale aggiornamento dell’app.
 

ARTICOLI CORRELATI