|
|||||||
|
|
|
 |
|
|
Strumenti |
18-06-2015, 08:01
|
#1 |
|
www.hwupgrade.it
Iscritto dal: Jul 2001
Messaggi: 75166
|
Link alla notizia: http://www.hwupgrade.it/news/telefon...ker_57718.html
La società di sicurezza NowSecure avrebbe verificato una vulnerabilità critica su molti dispositivi Samsung venduti dagli operatori americani che concederebbe l'accesso al terminale ad eventuali aggressori Click sul link per visualizzare la notizia. |
|
|
|
18-06-2015, 09:04
|
#2 |
|
Bannato
Iscritto dal: Sep 2008
Messaggi: 8946
|
 Imagine the power of swiftkey. with all the spead, ease, and style of gliding your fingers across the keyboard. Add real time Bug  La cosa strana è che il bug è presente da novembre 2014, 7 mesi fa  e ancora è presente...bug che coinvolgerebbe solo le varianti del software che vengono proposte nativamente sui dispositivi del colosso sudcoreano. Ad aggravare la situazione troviamo l'impossibilità di disinstallarla dallo smartphone. Mah...bravissimi nella componentistica, nella programmazione sembrano delle scimmie, la cosa è strana.. |
|
|
|
|
18-06-2015, 10:00
|
#3 |
|
Senior Member
Iscritto dal: Feb 2003
Città: Mo<->Bo
Messaggi: 45235
|
Ma, una domanda che mi sorge spontanea...
Ho conoscenze di reti, molto limitate, ma so che per accedere ad un dispositivo in rete, occorre che questo disponga di ip pubblico... Il mio, come penso la maggiorparte, è nattato, ovvero ha un ip privato... 10.x.x.x Non ho un samsung, ne una swiftkey, ma come fanno ad accedervi ? |
|
|
|
18-06-2015, 10:11
|
#4 | |
|
Bannato
Iscritto dal: Sep 2008
Messaggi: 8946
|
Quote:
in sostanza diventano loro stessi utenti del tuo smartphone, quindi hanno libero accesso a tutto.. |
|
|
|
|
|
18-06-2015, 10:24
|
#5 |
|
Senior Member
Iscritto dal: Oct 2009
Messaggi: 3689
|
intanto la swiftkey io non la trovo utile (per me) e quindi è la prima cosa che ho tolto!
che non si possa togliere è più o meno vero dato che ci vogliono i permessi di root, il fatto che come al solito i commenti siano "Samsung programma con i piedi" è sempre una questione di ignoranza totale del mondo SW, senza contare innumerevoli bug di tantissimi altri Brand, il pacchetto swiftkey e tastiera è installato sul System, non è questione di volere o meno da parte di Samsung la possibile rimozione, va montato lì perchè la struttura di Android è quella, se avessero generato Tizen forse avrei potuto darvi una parte di ragione ma così non è, Android lo ha creato Google e le regole le ha fatte Google. cmq scaricado la swiftkey di google si disattiva quella eventualmente integrata. |
|
|
|
|
18-06-2015, 10:32
|
#6 | |
|
Senior Member
Iscritto dal: Oct 2009
Messaggi: 3689
|
Quote:
ogni cellulare diventa un terminale connesso direttamente hai server google, o di altri gestori nel caso ci siano immessi gli account (Samsung in questo caso), i language pack sono gestiti da terzi quindi si potrebbe valutare un instradamento fasullo in una precisa zona internet per far scaricare un pacchetto language tarocco. quindi il pacchetto language ha i diritti di swiftkey che a sua volta ha diritti system (può quindi sapere se si è o meno connessi, con quale rete e volocità e poter leggere la memoria sia interna che esterna), quindi comunicare dati all'estreno su appositi server con IP non mappato. il gioco è fatto!
__________________
Acer NITRO:AN515-58 Chuwi MiniBook X N100 Tablet:Samsung TAB S7 Mobile:Samsung Note 10+ Smartwatch:Samsung Galaxy Watch7 Console:Retroid Pocket 5 |
|
|
|
|
|
18-06-2015, 11:40
|
#7 |
|
Senior Member
Iscritto dal: Feb 2003
Città: Mo<->Bo
Messaggi: 45235
|
Si, ma occorre installare un gateway...
Quello che ho fatto io sul computer della casa di campagna che ha internet tramite rete 3g ed ip nattato. Per accedervi da remoto, ho installato teamviewer, quindi per accedere da remoto al cellulare ci vuole un programma simile truccato da language pack. Capito ! |
|
|
|
|
18-06-2015, 11:44
|
#8 |
|
Junior Member
Iscritto dal: Nov 2013
Messaggi: 7
|
la cosa funziona perchè la swift key implementata sui samsung,usa la tecnologia di swiftkey ma, implementata ad hoc da samsung (così dal sito di swiftkey), scarica "ogni tanto" (non è chiaro ogni quanto) gli aggiornamenti di lingua prelevandoli da un url in chiaro.
Quindi non è semplicemente un app come le altre aggiornabile da playstore. Il file contiene una lista di file da aggiornare con un sha1 di controllo. I file di lingua sono degli zip che vengono scompattati con utente che ha pieni diritti sullo smartphone, quindi creando degli zip con un particolare path è possibile sovrascrivere file di sistema "iniettando" codice o apk malevoli. Nell'esempio portato avanti da nowsecure, andavano a rimpiazzare un app di sistema che parte al boot in modo da garantirsi il controllo del dispositivo ad ogni partenza. Detto questo per portare a compimento l'attacco, bisogna, essere in una wifi con un attacker che deve essere fortunato abbastanza da avere il telefono che far scattare l'aggiornamento lingua della tastiera (ma non si sa ogni quanto fa questo check). |
|
|
|
|
18-06-2015, 12:24
|
#9 |
|
Senior Member
Iscritto dal: Oct 1999
Città: Tra Como e Varese
Messaggi: 2800
|
è un bug che non è un bug, nel senso che bisogna essere sulla stessa rete wifi del dispositivo che si vuole attaccare e lo si può fare solo nel momento in cui questo scarica l'aggiornamento della tastiera, cosa che non avviene cosi frequentemente, quindi quasi impossibile cogliere l'attimo con un utente qualsiasi, al max lo puoi fare con un famigliare o un collega di lavoro
|
|
|
|
|
18-06-2015, 13:05
|
#10 | ||
|
Senior Member
Iscritto dal: Jun 2014
Messaggi: 3948
|
Quote:
Quote:
Amo l'inglese... se era una parola inventata da un italiano c'era di mezzo sicuramente del latino o del greco che sanno in 3 gatti. 
|
||
|
|
|
|
18-06-2015, 13:57
|
#11 | |
|
Senior Member
Iscritto dal: Oct 1999
Città: Tra Como e Varese
Messaggi: 2800
|
Quote:
|
|
|
|
|
|
18-06-2015, 19:26
|
#12 |
|
Member
Iscritto dal: Jun 2009
Messaggi: 412
|
tralasciando il fatto di puntare il dito sulle colpe, io piuttosto mi chiedo come mai nonostante l'invio "forzoso" di aggiornamenti da parte di samsung verso i provider detentori dei telefoni, questi non siano aggiornati e presentino tuttora la falla....
le vie per sistemare sono parecchie... dall'update obbligatorio tramite lo store, alle mini campagne di richiamo per aggiornamento, in casi estremi alla sostituzione del telefono... insomma, siamo nell'era digitale, dove manca un niente per avere qualcuno nel telefono che ti origlia la chiamata verso l'amante e non riescono a trovare un modo per forzare l'aggiornamento di un'app potenzialmente pericolosa per l'utente e per gli introiti dei provider stessi? bah... |
|
|
|
|
20-06-2015, 18:40
|
#13 | |
|
Senior Member
Iscritto dal: Jun 2014
Messaggi: 3948
|
Quote:
Proteggere l'utente da qualcosa che nel 99% dei casi nessuno si accorgerà mai che è colpa del produttore non viene visto come buon utilizzo dei fondi. |
|
|
|
|
|
22-06-2015, 19:52
|
#14 | |
|
Senior Member
Iscritto dal: Nov 2014
Messaggi: 4375
|
Quote:
|
|
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 22:46.
