Tietoverkkorikokseen ei yleensä voi syyllistyä vahingossa XARA-hyökkäys vaarantaa salasanat ja kirjautumistunnisteet Applen tuotteissa

17 06 2015

Samsung Galaxy S-sarjan älypuhelimissa haavoittuvuus

Tunnisteet: haavoittuvuudet, samsung

Samsung Galaxy S-sarjan älypuhelinten Swiftkey-sovelluksesta on löydetty haavoittuvuus, jonka avulla hyökkääjän on mahdollista suorittaa haitallista ohjelmakoodia järjestelmätason oikeuksilla.

Samsung Galaxy S-sarjan älypuhelimiin esiasennetusta Swiftkey-virtuaalinäppäimistöstä on löytynyt haavoittuvuus. Haavoittuvuuden avulla hyökkääjä pystyy välimieshyökkäyksessä muokkaamaan Swiftkeyn lataamaa kielipäivitystä ja sen avulla suorittamaan haitallista ohjelmakoodia järjestelmätason oikeuksilla kohdejärjestelmässä. Haavoittuvuuden hyödyntäminen vaatii välimieshyökkäyksen suorittamisen kun puhelin päivittää Swiftkey-sovelluksen kielitiedostoja. Välimieshyökkäys on mahdollista toteuttaa esimerkiksi avoimessa WLAN-verkossa.
 
Haavoittuvuus ei koske Googlen tai Applen sovelluskaupan kautta erikseen ladattavaa Swiftkey-sovellusta.
 
  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Matkaviestinjärjestelmät

Hyökkäystapa

  • Ilman kirjautumista
  • Etäkäyttö
  • Ilman käyttäjän toimia

Hyväksikäyttö

  • Komentojen mielivaltainen suorittaminen
  • Käyttövaltuuksien laajentaminen
  • Tietojen muokkaaminen
  • Suojauksen ohittaminen

Ratkaisu

  • Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot:

  • Samsung Galaxy S6
  • Samsung Galaxy S5
  • Samsung Galaxy S4
  • Samsung Galaxy S4 Mini

Ratkaisu- ja rajoitusmahdollisuudet:

Päivitä älypuhelimen ohjelmisto valmistajan ohjeiden mukaisesti tuoreimpaan saatavilla olevaan versioon.

Lisätietoa:

Päivityshistoria

  • 17.06.2015 klo 13:04
    Julkaistu
Tietoverkkorikokseen ei yleensä voi syyllistyä vahingossa XARA-hyökkäys vaarantaa salasanat ja kirjautumistunnisteet Applen tuotteissa