Sinds de Galaxy S4 gebruikt Samsung software van toetsenbordmaker SwiftKey voor het standaard keyboard in haar Galaxy telefoons. Volgens een onderzoeker zit er een gat in de beveiliging van deze software, die op honderden miljoenen Galaxy te vinden is. Update: het probleem wordt gefixt – zie onder.
Het probleem is als volgt: de SwiftKey software op Samsung telefoons haalt updates – bijvoorbeeld voor een taalpakket – binnen via een onbeveiligde verbinding. Daardoor kan een kwaadwillend persoon onder precies de juiste omstandigheden de telefoon een nep-update laten downloaden die malware op het toestel installeert. Die kwaadwillende persoon moet zich dan wel op hetzelfde, onbeveiligde netwerk bevinden als de telefoon die op dat moment een update voor het toetsenbord aan het downloaden is.
Samsung zelf heeft begin dit jaar al een patch voor het beveiligingslek beschikbaar gesteld, maar van de meeste Amerikaanse providers is bekend dat ze deze nog niet hebben uitgerold, aldus de ontdekker van het probleem NowSecure. Hoe de situatie is voor niet-Amerikaanse toestellen – al dan niet unbranded, dus niet verkocht door een provider – is op dit moment onduidelijk.
Al met al is de totale omvang van het beveiligingsprobleem lastig in te schatten. Het is niet erg eenvoudig om op deze manier een telefoon binnen te dringen, zolang je onbeveiligde netwerken vermijdt – wat sowieso geen slecht idee is, overigens. Toch wordt hopelijk op korte termijn duidelijk of en welke Europese toestellen kwetsbaar zijn, en zoja, wanneer de kennelijk reeds beschikbare patch dan daadwerkelijk wordt aangeboden.
Update:
Via meerdere kanalen heeft Samsung zich inmiddels geuit over het hierboven beschreven probleem in de beveiliging van de software van het keyboard van verschillende telefoons sinds de Galaxy S4.
Zoals verwacht benadrukt Samsung veiligheid serieus te nemen. Via het Knox beveiligingspakket, dat ook op Galaxy telefoons sinds de S4 aanwezig is kan het beveiligingsbeleid over the air worden aangepast. Updates van het beveiligingsbeleid zullen de komende dagen via die weg worden uitgerold.
Praktisch gezien betekent dit je jouw telefoon – indien nodig – ergens in de komende dagen vanzelf een keer de melding geeft dat een update van het beveiligingsbeleid kan worden. Dit gaat veel sneller dan een grote software update, en kost je dus verder geen moeite of tijd.