Видео: HUGE EGGS Surprise Toys Challenge with Inflatable water slide (Ноември 2024)
Няма спешни повиквания
Прозорецът на уязвимост се появява, когато някой отвори приложението В случай на спешност (ICE) (което е достъпно дори когато телефонът е заключен) и след това натисне бутона Home. Изследователи от виетнамската компания за сигурност Bkav определиха ICE като източник на проблема. В скорошна публикация те обясниха: „Недостатъкът се състои във факта, че инженерите на Samsung позволяват стартирането на ICE от прозореца за спешно повикване. Това означава, че нормално приложение (в случая ICE) е позволено да работи дори когато телефонът е заключен."
Решението на Bkav е да деактивира приложението ICE. Използвайки безплатната или търговска версия на Bkav Mobile Security, потребителите могат да изберат „Антиблокиране на байпас на екрана“, за да активират тази функция. Не виждате тази опция? Тогава телефонът ви не е такъв, който е уязвим за тази грешка.
Публикацията в Bkav също посочва поправка, предлагана от Lookout, производителят на редактора на Choice Lookout Mobile Security, който твърди, че поправката на Lookout е неефективна. Lookout следи приложението ICE и го принуждава да излезе на преден план, ако бъде избутан на заден план от (краткия) вид на началния екран. Според Bkav „това е и пътят на неуспеха, по който инженерите на Samsung продължиха… началният екран вече е разкрит, достатъчно време лошите да имат достъп до приложения там“.
Lookout отговаря
Дейвид Ричардсън, продуктов мениджър зад корекцията на Lookout, смята друго. "Има куп проблеми", каза Ричардсън. „Едно от тях е, че можете за миг да видите началния екран и евентуално да щракнете върху един бутон… Уязвимостта, от която ви защитаваме, е много по-лоша. Позволява ви да заобиколите напълно заключения екран, така че дори да не се заключете, освен ако не включите и включите отново устройството."
Ричардсън посочи, че за хакер фактът, че можете за миг да видите началния екран, е улика, че нещо не е наред, че може да можете да огласите този поглед в пълен достъп. "Хората са намерили четири или пет начина да заобиколят заключения екран досега. Ние се защитаваме от най-тежките, но вероятно има още пет, които предстои да бъдат открити.
Различен подход
"Ние проучихме подхода, който те прилагат, " каза Ричардсън, "но смятахме, че е твърде натрапчив, а не нещо, което можем да изтласкаме към 35 милиона потребители." Той отбеляза: „Ако предотвратим дори един човек да извърши необходимо спешно повикване, това е много по-лошо от всяка уязвимост. Вместо това ние защитаваме мнозинството от най-критичния риск, който е постоянният байпас на заключения екран“.
Ричардсън посочи, че решението Bkav изисква активно участие на потребителя. "Ако щяхме да направим това, ще трябва да поискаме потвърждение, за да деактивираме ICE", каза Ричардсън. "Ние не бихме предприели само това действие, но искаме да защитим потребителите, които дори не са чували за тази уязвимост."
В крайна сметка, каза Ричардсън, "Samsung трябва да отстрани основния проблем. Потребителите трябва да търсят този пластир - ще ги уведомим, когато е налице. И ще ги защитим временно."
В отговор на по-ранна заявка от SecurityWatch, Samsung заяви, че "Samsung счита, че поверителността на потребителите и сигурността на потребителските данни са основен приоритет. Ние сме запознати с този проблем и ще пуснем поправка при първа възможност."
Не забравяйте също, че никой не може да влезе във вашия телефон, използвайки тази техника, докато телефонът пребивава безопасно в джоба или чантата ви. Много може да се каже за обикновена стара физическа сигурност.