La vulnerabilidad fue descubierta por el investigador de seguridad Ryan Welton, investigador de seguridad de NowSecure, en diciembre del año pasado, cuando se informó a las compañías afectadas, Samsung y Google.
- Tener acceso a todos los sensores.
- Instalar aplicaciones sin el consentimiento del usuario.
- Recoger registros del sistema.
- Recoger registros de las aplicaciones instaladas.
- Acceder a cualquier archivo personal.
El investigador de seguridad ha publicado en su canal de YouTube un vídeo en el cual puede apreciarse como aprovecha la vulnerabilidad.
Jose Ignacio Palacios Ortega dice
Tras esta publicación, parece que ha habido alguna discrepancia.
Aunque NowSecure asegura que el error es global, SwiftKey, ha contactado con nosotros para dejar claro que el error no está en su aplicación, y que Samsung no la trae instalada por defecto, lo que sí utiliza es su SDK (word prediction software) de predicción de palabras.
Aunque curiosamente la aplicación tiene una actualización con la misma fecha que la noticia.
A continuación dejamos textualmente la explicación de Swiftkey:
«SwiftKey is not a pre-installed app on Samsung devices – Samsung uses our SDK (word prediction software) to power their own keyboard app. This vulnerability is unrelated to, and does not affect, our SwiftKey consumer apps on Google Play and the Apple App Store.
Therefore we cannot, and did not, issue an update to our Google Play app related to this issue, as it would not have affected the Samsung keyboard issue.»