یک نقطه ضعف امنیتی در نرم افزار صفحه کلید سریع (Swift keyboard) پیدا شده است. نرم افزاری که در بیش از ۶۰۰ میلیون دستگاه سامسونگ حتی S6 (که به تازگی وارد بازار شده) وجود دارد. این نقص میتواند باعث سواستفاده شود بطوریکه به مهاجم راه دور این امکان را بدهد که کدهای(دستورات) دلخواهی را روی تلفن کاربر اجرا نماید.
این نقص توسط رایان ولتن محقق امنیتی شرکت NowSecure کشف شده؛ به گفته ی او، مهاجم از طریق باگ میتواند سوء استفاده کرده و به دوربین و میکروفون دسترسی داشته باشد، موقعیت جغرافیایی را از طریق GPS ردیابی کند، هر گونه برنامه مخربی را مخفیانه و بدون اطلاع کاربر بر روی دستگاه نصب نموده، اطلاعات ذخیره شده بر روی دستگاه را سرقت کرده و حتی پیامکها و مکالمات تلفنی را شنود نماید.
این نرم افزار، صفحه کلید را به حالت هوشمند در آورده و میتواند بر اساس چند حرف تایپ شده از یک کلمه، آن کلمه را حدس زده و پیش بینی کند. درنتیجه، لزومی به تایپ کامل کلمه نبوده و سرعت تایپ کاربر افزایش مییابد.
نکته ی دیگر اینکه، اگر گوشی دارای این نرم افزار باشد، امکان حذف و یا غیرفعال کردن آن وجود ندارد. حتی وقتی که از این نرم افزار استفاده نمی کنید و غیرفعال است، باز هم امکان سوء استفاده از طریق آن امکان پذیر میباشد.
نرم افزار Swift Keyboard بطور مستمر زبانهای مورد استفاده خود را به روز میکند و این بروزرسانی را از طریق ارتباط ناامن HTTP دریافت میکند. بدین ترتیب، مثلاً هنگامی که گوشی همراه از طریق یک شبکه بی سیم WiFi عمومی و ناامن اقدام به دریافت فایل به روز رسانی میکند، یک مهاجم میتواند ارتباط گوشی آسیب پذیر را منحرف کرده و فایل مخرب مورد نظر خود را به گوشی ارسال کند. حملات نزدیک از لحاظ جغرافیایی مانند access pointها یا ایستگاههای سرکش یا حملاتی از طریق کاربران محلی روی یک شبکه میتوانند این تخریب را ایجاد نمایند. از طرفی، حملات از راه دور نیز از طریق سرقت DNS، تزریق بسته، یک روتر یا ISP سرکش و غیره امکان پذیر اند.
ولتن گفته است که سامسونگ در دسامبر ۲۰۱۴ از این قضیه مطلع شد. این شرکت نیز در ماههای اخیر اصلاحیه ای را برای ترمیم این نقطه ضعف در اختیار اپراتورهای تلفن همراه در جهان گذاشته است ولی در نقاطی که به روز رسانیها از طریق اپراتورها اعمال نمی شوند، این نقطه ضعف همچنان باقی است و آسیب پذیری در گوشیهای Samsung باید از طریق به روز رسانی مستقیم Samsung برطرف گردد.
منبع:
Seals, T. (2015, June 17). Keyboard Vulnerability Leaves 600 Million Samsung Devices at Risk. Retrieved from infosecurity-magazine: http://www.infosecurity-magazine.com/news/keyboard-vulnerability-600-million/
