Falha em teclado da Samsung deixa 600 milhões de smartphones vulneráveis
Uma falha no teclado SwiftKey Android pré-instalado em 600 mil smartphones da Samsung permite que cibercriminosos obtenham controle total dos aparelhos – incluindo o novo Galaxy S6.
A vulnerabilidade foi descoberta pelo pesquisador de segurança da NowSecure Ryan Welton, que informou a empresa e a equipe de segurança da Samsung na época.
O bug, que foi identificado no ano passado, pode dar ao cracker o poder de interceptar chamadas, roubar dados pessoais e sigilosos, acessar o GPS, a câmera e o microfone. A Samsung chegou a liberar um patch para as operadoras de telecom, mas não está claro se elas repassaram a correção para todos os clientes por meio de suas redes móveis.
Os teclados baseados em SwiftKey de outros dispositivos Android ou fabricantes não foram afetados pelo bug, tampouco foram afetados os aplicativos SwiftKey disponíveis na Google Play Store e na App Store.
Como funciona
A falha ocorre quando o mecanismo de update do aparelho busca por atualizações de idiomas. Essas atualizações, que podem ser feitas semanalmente, são realizadas por meio de códigos não criptografados. Por conta disso, os crackers podem interceptar a atualização e enviar pacotes maliciosos para os usuários, garantindo o acesso root ao aparelho.
Vale ressaltar que a falha só pode ser corrigida pela própria fabricante – mesmo que os usuários instalem outro teclado, o aplicativo do SwiftKey não pode ser removido ou desabilitado.
