וִידֵאוֹ: ª (נוֹבֶמבֶּר 2024)
אין שיחות חירום
חלון הפגיעות מתרחש כאשר מישהו פותח את האפליקציה ICE of Emergency (ICE) (הזמינה גם כשהטלפון נעול) ואז לוחץ על כפתור הבית. חוקרים בחברת האבטחה הווייטנאמית Bkav זיהו את ICE כמקור הבעיה. בפוסט שפרסם לאחרונה הם הסבירו כי "הפגם טמון בעובדה שמהנדסי סמסונג מאפשרים להפעיל את ה- ICE מחלון שיחות חירום. פירוש הדבר שאפליקציה רגילה (במקרה זה ICE) מותרת לפעול גם כשהטלפון נעול."
הפיתרון של בקב הוא להשבית את אפליקציית ICE. באמצעות הגרסה החינמית או המסחרית של Bkav Mobile Security, המשתמשים יכולים לבחור "עקיפה נגד נעילת מסך" כדי להפעיל תכונה זו. אינך רואה אפשרות זו? ואז הטלפון שלך הוא לא אחד שפגיע לבאג הזה.
פוסט Bkav מצביע גם על תיקון שמציע Lookout, יצרנית האבטחה הניידת של Look Lookout של העורכים, וטוען שהתיקון של Lookout אינו יעיל. תצפית מנטרת את אפליקציית ICE ומאלצת אותה לקדמת הבמה אם היא נדחפת לרקע על ידי המראה (הקצר) של מסך הבית. לטענת בקב, "זה גם דרך הכישלון שעברו מהנדסי סמסונג… מסך הבית כבר נחשף. מספיק זמן לחבר'ה לגשת לאפליקציות שם."
תצפית מגיבה
דייוויד ריצ'רדסון, מנהל מוצר שמאחורי התיקון של Lookout, חושב אחרת. "יש חבורה של סוגיות", אמר ריצ'רדסון. "אחד מהם הוא שאתה יכול לראות לרגע את מסך הבית ואולי ללחוץ על כפתור אחד… הפגיעות שאנו מגנים עליך היא גרועה בהרבה. היא מאפשרת לך לעקוף לחלוטין את מסך הנעילה כך שהוא אפילו לא יבצע שוב נעילה אלא אם כן אתה מפעיל את המכשיר והפעל אותו מחדש."
ריצ'רדסון ציין כי עבור האקר, העובדה שאתה יכול לראות רגעית את מסך הבית היא רמז לכך שמשהו לא בסדר, שאולי תוכל להציב את ההצצה לגישה מלאה. "אנשים מצאו עד כה ארבע או חמש דרכים לעקוף את מסך הנעילה. אנו מגנים מפני החמורים ביותר, אבל כנראה שיש עוד חמש שעוד התגלה.
גישה שונה
"חקרנו את הגישה שהם יישמו, " אמר ריצ'רדסון, "אבל הרגשנו שהיא פולשנית מדי, לא משהו שנוכל לדחוף אליו ל -35 מיליון משתמשים." הוא המשיך וציין, "אם היינו מונעים אפילו מאדם אחד לבצע שיחת חירום הכרחית, הרי זה הרבה יותר גרוע מכל פגיעות. במקום זאת, אנו מגנים על הרוב מהסיכון הקריטי ביותר שהוא עקיפה קבועה של מסך הנעילה."
ריצ'רדסון ציין כי פיתרון Bkav מחייב השתתפות פעילה על ידי המשתמש. "אם היינו מתכוונים לעשות זאת, היינו צריכים לבקש אישור לביטול ה- ICE, " אמר ריצ'רדסון. "לא היינו פשוט נוקטים בפעולה זו, אך אנו רוצים להגן על משתמשים שמעולם לא שמעו על פגיעות זו."
בסופו של דבר, אמר ריצ'רדסון, "סמסונג צריכה לתקן את הבעיה הבסיסית. המשתמשים צריכים לחפש את התיקון הזה - נודיע להם מתי הוא זמין. ואנחנו נגן עליהם בינתיים."
בתגובה לשאילתה קודמת של SecurityWatch, סמסונג אמרה כי "סמסונג מחשיבה את פרטיות המשתמשים ואת אבטחת נתוני המשתמשים בראש סדר העדיפויות שלה. אנו מודעים לנושא זה ונפרסם תיקון ככל האפשר."
זכור גם שאף אחד לא יכול לפרוץ לטלפון שלך בטכניקה זו בזמן שהטלפון שוכן בבטחה בכיס או בארנק. יש הרבה דברים שאומרים על ביטחון פיזי ישן פשוט.