Tout récemment a été dévoilée l’existence d’une vulnérabilité majeure touchant le clavier virtuel Swiftkey, qui est préchargé sur un grand nombre de smartphones du Coréen Samsung.
Cette faille de sécurité très dangereuse permet, par exemple, lors d’une mise à jour de l’application, d’installer un logiciel capable d’accéder à l’intégralité des fonctions et aux capteurs du mobile.
C’est la firme NowSecure, qui a dévoilé la brèche, il y a quelques jours et qui l’a démasqué, avec démonstration à l’appui, le plus impressionnant c’est que 600 millions d’appareils seraient impactés.
Samsung se veut pourtant rassurant en indiquant qu’à ce jour, aucun cas de piratage n’avait été recensé et annonce en complément avoir développé un correctif qui sera déployé prochainement sur tous les smartphones Galaxy équipés du dispositif KNOX. Comme c’est le cas pour les S4, S5 et S6.
Bon… ça c’est très bien, mais quid des autres modèles, sans le module Knox ? Tout au plus, Samsung annonce qu’une nouvelle version du firmware est en préparation, sans date de diffusion. Et puis dans l’absolu, il faudra aussi que les opérateurs veuillent bien la relayer sur les téléphones qu’ils ont vendus et ça, ce n’est pas gagné. C’est notamment ce qui avait entravé, en début d’année, la diffusion d’un premier patch.
Samsung minimise toutefois la faille, en indiquent que le pirate doit se trouver sur le même réseau non sécurisé que l’utilisateur d’un smartphone Samsung, lequel doit de son côté, télécharger la mise à jour linguistique de Swiftkey. C’est par ce biais que les paquets transmis en clair peuvent être interceptés, par une attaque de type « Man-in-the-middle » et remplacés par un malware qui s’installera avec des droits étendus.
Samsung est effectivement « léger » sur le sujet… Je n’ai pas suivi l’histoire mais d’après cet article, le simple fait de bloquer l’accès Internet à Swiftkey évite tout problème non ?
Et Swiftkey eux mêmes, ils ne font rien???
Ce clavier est telechargeable sur n importe quel Android depuis le Play Store.
En tout cas il n est pas prechargé d origine sur mon Note 4. Tant mieux vu que j ai désactivé Knox ^^
C’est exactement ce à quoi je pensais, en quoi Samsung est en faute si le clavier est une passoire ? C’est à l’équipe de Swiftkey de résoudre le soucis.
Dans la mesure où il est préinstallé par Samsung, sur certains dispositifs, c’est aussi de leur ressort 😉
Le mieux serait quand même que l’éditeur comble la faille…
_________________________________
Envoyé depuis l’application Génération mobiles pour Android
Tout a fait d’accord, ce serait plus à Swiftkey de corriger…