L’azienda specializzata in sicurezza NowSecure ha scoperto un bug nella tastiera virtuale del Samsung Galaxy S6 e di altri smartphone Android del produttore sudcoreano per un totale di 600 milioni di device potenzialmente vulnerabili. Il bug, che colpisce la tastiera di default degli smartphone derivata da SwiftKey, permetterebbe a eventuali cybercriminali di mettere in pratica diversi tipi di attacchi, compresa l’intercettazione delle chiamate telefoniche e dei messaggi di testo.

Il problema è relativo al processo di aggiornamento della tastiera virtuale, durante il quale i file eseguibili non vengono criptati e restano così vulnerabili a potenziali attacchi. Si tratta di un rischio da non sottovalutare, in quanto lo smartphone controlla periodicamente la presenza di eventuali aggiornamenti della tastiera (il più comune è quello relativo ai cosiddetti language pack) e, durante questo processo, si potrebbe verificare un attacco.

NowSecure, per mano dell’esperto di sicurezza Ryan Welton, ha già segnalato il problema a Samsung, al CERT e al team Android di Google, ma a quanto pare, nonostante la notizia di un apposito aggiornamento rilasciato da Samsung, la situazione è ancora poco chiara. Welton, che per ora ha sconsigliato di utilizzare connessioni Wi-Fi non sicure fino a quando verrà rilasciata una patch definitiva, ha verificato che i rischi si possono verificare anche con tastiere diverse da quella di default, ma SwiftKey ha fatto sapere che la sua tastiera scaricabile da Google Play non ne è affetta.

A preoccupare non c’è comunque solo il rischio delle intercettazioni. Chi mette in pratica un attacco sfruttando questo bug potrebbe infatti installare app all’insaputa del possessore dello smartphone, sottrarre dati sensibili come password e nomi utente e persino prendere il controllo dei più comuni sensori presenti in uno smartphpone come il GPS e di altri componenti interni come la fotocamera e il microfono.