Sono circa 600 milioni i dispositivi Samsung potenzialmente a rischio a causa della vulnerabilità individuata da Ryan Welton, ricercatore di NowSecure: la tastiera installata di serie sui device, compresi i recenti e popolari Galaxy S6, può trasformarsi in un vettore d’attacco per i malintenzionati, e trasformare suo malgrado lo smartphone in una cimice in grado di intercettare le conversazioni voce e testo intraprese per mezzo del device.

Il problema, come dimostrato nel corso di una conferenza dallo stesso Welton, risiede nelle modalità di aggiornamento della tastiera di default del sistema (una versione modificata e personalizzata da Samsung della nota SwiftKey): il traffico generato per l'update viaggia privo di firma e protezioni, pertanto un malintenzionato piazzato sulla stessa rete WiFi potrebbe intercettare le richieste in partenza dal telefono, rispondendo con una versione apparentemente legittima ma in realtà contraffatta del software (il classico attacco man-in-the-middle).

In altre parole, aggiornando semplicemente le impostazioni della tastiera – un'operazione apparentemente banale – si potrebbe fornire a chiunque una porta di ingresso spalancata ai dati contenuti e in transito sul proprio Galaxy. Secondo Welton, poi, non occorre neppure che la tastiera sia in uso: con gli strumenti giusti si potrebbe comunque forzare l'aggiornamento e spedire un pacchetto contraffatto al terminale.

Il software modificato iniettato potrebbe contenere di tutto: potrebbe permettere all'attaccante di arrivare alle informazioni contenute nella posta elettronica, agli SMS, potrebbe permettere di attivare a nostra insaputa fotocamera e microfono per intercettazioni ambientali. Samsung ha concesso notevoli privilegi sul piano software a questo tipo di aggiornamenti, dunque questi ultimi sono in grado di scavalcare a piacimento una grossa fetta delle protezioni disposte da Android.

Il problema non pare comunque legato a SwiftKey, che si è affrettata a segnalare come il proprio software scaricabile tramite Play Store non sarebbe vittima dello stesso bug, bensì al modo in cui Samsung gestisce la propria versione della tastiera installata nei Galaxy. All'azienda coreana il problema è stato notificato a fine 2014, e una patch è stata distribuita a inizio 2015, ma ad oggi non è chiaro quanti smartphone siano stati effettivamente "guariti" tramite il rilascio di una patch in tal senso.

La dimostrazione del bug
La dimostrazione del bug

Una seria contromisura per evitare questi rischi, come suggerito da NowSecure, è evitare di collegarsi a reti WiFi sconosciute o di cui non si sia certi della sicurezza: almeno fino a quando non si sarà accertato che il proprio smartphone sia stato aggiornato per fare eliminare questa pericolosa vulnerabilità. Poiché per il rilascio di aggiornamenti di questo tipo del sistema operativo sono coinvolti anche gli operatori, in particolare per quanto attiene i dispositivi venduti tramite di essi, i tempi di rilascio di queste patch possono variare di nazione in nazione.