twitter androidgalaxys.net feed rss androidgalaxys.net youtube androidgalaxys.net email androidgalaxys.net

Giu 182015
 

In questi giorni sono numerosi i siti, del settore e non, che hanno diffuso la notizia secondo la quale in oltre 600 milioni di Galaxy in tutto il mondo sarebbe presente una pericolosa falla di sicurezza che permetterebbe a terze parti di prendere il controllo completo del dispositivo quando connesso ad una rete estranea.

galaxy bug tastiera

In particolare la vulnerabilità, scoperta dai ricercatori di Nowsecure nel dicembre 2014 e dimostrata proprio in questi giorni in occasione del Blackhat Security Summit di Londra, riguarderebbe il codice della tastiera predefinita della Samsung basata sulla nota tecnologia SwiftKey.

Purtroppo come già capitato in tante occasioni la notizia è stata diffusa distorcendo quanto riportato dalla fonte originaria e creando un eccessivo allarmismo.

Ecco il perché.

1
Innanzitutto seppure sia una falla potenzialmente pericolosa, affinché il malintenzionato la possa sfruttare occorre necessariamente che in quel preciso momento abbia il controllo del traffico generato dall’utente (quindi deve essere collegato alla stessa rete) e che sul telefono venga scaricato o aggiornato un pacchetto della lingua della tastiera (fonte NowSecure technical report).
galaxy falla sicurezza

2
La vulnerabilità è presente solamente nel codice della tastiera Samsung basata sulla tecnologia SwiftKey e non nell’applicazione SwiftKey che si può trovare sul Play Store (fonte SwiftKey Blog).

For clarity, this issue does not affect SwiftKey’s consumer keyboard applications on Google Play or the Apple App Store, and we are absolutely committed to maintaining world-class standards in security and privacy practices for our users.

3
La vulnerabilità era già stata comunicata alla Samsung nel dicembre 2014 e secondo gli stessi ricercatori la compagnia avrebbe provveduto a rilasciare le prime patch già all’inizio dell’anno, anche se alcuni modelli sembrerebbero ancora esposti (fonte NowSecure blog).

4
Da come si può vedere il video della dimostrazione risale al 17 dicembre ed è stato girato prendendo in considerazione un Galaxy S5 di Verizon con a bordo un vecchio firmware basato su Android KitKat.
galaxy-s5-falla-tastiera

5
Non su tutti i modelli Samsung è presente una tastiera con tecnologia SwiftKey. Gli stessi ricercatori sono inoltre cauti sul numero di Galaxy colpiti dalla vulnerabilità.

it is unknown if the carriers have provided the patch to the devices on their network. In addition, it is difficult to determine how many mobile device users remain vulnerable, given the devices models and number of network operators globally

Per ora i ricercatori sembrano aver trovato con certezza la falla solamente su alcuni Galaxy degli operatori americani T-Mobile, Verizon e AT&T, ma non sono in grado di dire se il problema riguardi anche le altre varianti (fonte NowSecure blog).

6
Se veramente vi trovate sotto ad una rete WiFi non vostra, più che di queste vulnerabilità dovreste preoccuparvi del fatto che chiunque può intercettare i vostri dati senza alcuna fatica e senza essere un hacker.
Proteggersi da queste falle di sicurezza e connettersi ad una rete WiFi non fidata è come blindare le finestre di casa ma lasciare aperta la porta principale!

7
Non è che se una falla di sicurezza non viene così tanto pubblicizzata allora significa che queste non esistano o che si è al sicuro.
Ad esempio anche se nessuno lo ha riportato, lo stesso ricercatore nella stessa conferenza ha dimostrato anche un’altra vulnerabilità ben più grave di questa è che affligge tutti i dispositivi android (fonte NowSecure technical report).

 

E di tutto questo la Samsung cosa dice?

Attraverso un portavoce la società koreana ha fatto sapere al The Guardian che sono consapevoli del problema riportato dai media e che sono già impegnati a mettere in sicurezza i loro dispositivi vulnerabili.

Samsung takes emerging security threats very seriously. We are aware of the recent issue reported by several media outlets and are committed to providing the latest in mobile security.

Inoltre si fa sapere che i telefoni protetti dalla tecnologia Samsung Knox (quindi quelli dal Galaxy S4 in poi) non sono esposti più di tanto a tale vulnerabilità.

It is important to note that the phone’s core functions (kernel) were not affected by the reported issue due to the protection of the Samsung Knox platform in all S4 models and above.

In ogni caso la Samsung rilascerà a breve un aggiornamento da remoto attraverso le policy di sicurezza per invalidare del tutto ogni possibile attacco di questo tipo.

Samsung Knox also has the capability to update the security policy of the phones, over-the-air, to invalidate any remaining potential vulnerabilities caused by this issue. The security policy updates will begin rolling out in a few days.

  • Fabulux

    Totalmente d’accordo con voi, a volte ci si preoccupa delle sciocchezze e si commettono errori ben più gravi

  • Comeunacatapulta

    Questo blog è il top punto.

  • Derek

    Sì Questo è un ottimo blog…….almeno se leggo una notizia qui so che è vera……le guide sono molto precise e dettagliate…..invece in altri blog ho appurato che un po troppo spesso sparano minchiate……

  • Paolo

    Peccato che parlate solo di android e della Samsung, sarebbe interessante avere in Italia un blog così anche per tutti gli altri argomenti della tecnologia. Quelli che seguivo fino a 4-5 anni fa hanno avuto un declino di qualità impressionante 🙁

  • Tiwi

    avevo letto la notizia ieri su un altro blog..riportata in modo MOLTO differente…immaginavo le cose fossero diverse da come le descrivevano..per fortuna qui ho letto un ottimo ed esaustivo articolo..con tanto di fonti…10+

  • franky29

    di solito sono io che entro nelle connessioni degli altri non il contrario ahaha

  • Alessandro

    Mi associo ai complimenti al sito! Grandi 😉

  • stem

    Il bello è che tutti i siti di tecnologia del mondo l’hanno riportata in maniera errata, ma almeno quelli stranieri hanno poi riportato le parole della Samsung e SwiftKey.

  • Ma551m0

    …E c’è ancora gente che si preoccupa per una possibile falla su una tastiera? No dai… Allora Babbo Natale esiste davvero!?

    Ho appena scoperto che le stesse Batterie (Samsung) contengono un Chip di localizzazione.

    Senza tenere in considerazione a che cosa possono contenere le varie App presenti sul Play Store Google.
    Senza tenere in considerazione cosa possa contenere lo stesso Sistema Android di Google.
    Google, già… Secondo solo all’idiota “Suckemberg” in fatto di Ruberia dati!