Раскрытая уязвимость дает хакерам доступ к датчикам смартфона, например, GPS, камере и микрофону, возможность установить вредоносное ПО без ведома владельца смартфона, вмешиваться в работу приложений и самого гаджета, подслушивать телефонные разговоры и даже получить доступ к таким данным, как контакты, фотографии, пароли или текстовые сообщения.
133
просмотров
Стоило указать, что уязвимость связана с SwiftKey, а Samsung страдает потому, что на многих девайсах эта клавиатура предустановлена.
Мне ответили в SwiftKey, что никакие из их устанавливаемых клавиатур не подвержены этой проблеме. Не понимаю, в чём тогда all that fuss.
Если что не так понял, подробности по ссылке.
- клавиатуру невозможно отключить или удалить даже при установке иной
- благодаря Samsung она выполняется с повышенными правами system
- при определенных условиях инициируется апдейт (запрос вручную/ребут). Приложение идет к Samsung, берет ключ под нужный язык, идет с ним к Swiftkey и качает апдейт
- zip-апдейт и манифест к нему качаются в plaintext, хэш можно подменить, пишем в системную папку
- замаскируем наше приложение под одно из системных, которые запускаются с повышенными правами (нужно готовить под каждый тип девайса, но тоже реально) при ребуте/других условиях.
https://www.nowsecure.com/blog/2015/06/16/remote-code-execution-as-system-user-on-samsung-phones/
Ну вот, а вы говорите, на TJ только про Apple пишут.
Про Apple только хорошее. Хотя покойником он станет в последнюю очередь
прочитал "Милонов", что со мной не так?)
Совпадение?