اكتشف باحث أمني وجود خلل برمجي في لوحة المفاتيح الافتراضية لشركة سامسونج، مما عرّض أكثر من 600 مليون هاتف ذكي لخطر محتمل للاختراق. قام Ryan Welton من NowSecure بتفصيل ثغرة أمنية في لوحة مفاتيح SwiftKey المثبتة مسبقًا في الملايين من هواتف Samsung. لا يتم البحث عن حزم اللغات في شكل تحديثات وتنزيلها عبر اتصال مشفر، ولكن يتم إرساله كنص عادي فقط.
وبالتالي، تمكن Welton من استغلال هذه الثغرة الأمنية عن طريق إنشاء خادم وكيل مزيف وإرسال تعليمات برمجية ضارة إلى جهاز ضعيف إلى جانب التحقق من صحة البيانات التي تضمن بقاء التعليمات البرمجية الضارة على الجهاز. بمجرد أن يتمكن ويلتون من الوصول إلى الهواتف المحمولة المخترقة، يمكنه البدء على الفور في استخدام الأجهزة التي لا تحتوي عليها حتى يعرف المستخدم عنها. إذا استغل أحد المهاجمين الثغرة الأمنية، فمن المحتمل أن يسرق بيانات حساسة تتضمن الرسائل النصية أو جهات الاتصال أو كلمات المرور أو تسجيلات الدخول إلى الحساب المصرفي. ناهيك عن أنه يمكن أيضًا استغلال الخطأ لتتبع المستخدمين.
وعلقت سامسونج بالفعل على المشكلة المذكورة في نوفمبر الماضي وادعت أنه سيتم إصلاح هذا الخطأ على الأجهزة ذات Androidom 4.2 أو في وقت لاحق من شهر مارس. على أي حال، يقول NowSecure أن الخلل لا يزال موجودًا، وقد أظهره ويلتون في قمة لندن الأمنية على الهواتف الذكية Galaxy S6 من Verizon ولفت الانتباه إليه مرة أخرى.
يعتقد أندرو هوج من NowSecure أنه يمكن استغلال الخلل في بعض الأجهزة الرئيسية والحديثة نسبيًا مثل Galaxy الملاحظة 3، الملاحظة 4، Galaxy S3، S4، S5، وهكذا Galaxy S6 وS6 إيدج. الأمر يستحق التفكير فيه، لأن ويلتون يقول إنه حتى لو لم يستخدم المستخدم لوحة مفاتيح Samsung، فلا يزال هناك خطر إساءة استخدام البيانات الحساسة وسرقتها لأنه لا يمكن إلغاء تثبيت لوحة المفاتيح.
وإلى أن تصدر سامسونج حلاً رسميًا، توصي ويلتون أصحاب الهواتف الذكية Galaxy كن حذرًا جدًا عند استخدامها على شبكات WiFi المفتوحة التي لا يتعرفون عليها لتقليل فرصة حدوث هجوم. يجب أن يكون المتسلل المحتمل على نفس الشبكة مثل مستخدم الهاتف الذكي من أجل سرقة البيانات. لن يكون من الممكن إساءة الاستخدام عن بعد إلا من خلال الاستيلاء على خادم DNS الذي قد يحتوي على بيانات من جهاز توجيه بعيد، وهو أمر ليس بالأمر السهل لحسن الحظ.
ولم تعلق سامسونج على الوضع الحالي.
*مصدر: SamMobile
