Sono oltre 600 milioni gli smartphone vulnerabili a causa di un bug in SwiftKey, la popolare tastiera inclusa per default nei prodotti Samsung Galaxy, compreso il recente Galaxy S6.

Samsung stessa ha riconosciuto il problema ma afferma che sfruttare il bug non è tanto semplice, dato che occorrono alcune condizioni precise, come l'accesso alla stessa rete non protetta del bersaglio da parte di chi intende manomettere lo smartphone.

Qualora però l'attacco andasse a buon fine, il suo autore si troverebbe in grado di accedere alle risorse del dispositivo preso di mira, come i sensori, il GPS, la videocamera e il microfono; potrebbe inoltre installare software (comprese applicazioni malevole) senza che l'utente se ne accorga, ascoltare le chiamate e accedere a dati riservati, come le fotografie e i messaggi.

Sui dispositivi sui quali SwiftKey è preinstallata non è possibile procedere alla disinstallazione dell'app: è necessario quindi attendere un aggiornamento, che Samsung promette per i prossimi giorni.

La situazione dei dispositivi Samsung è particolarmente grave perché, a differenza della versione di SwiftKey scaricabile da Google Play, quella preinstallata ha privilegi elevati e può accedere a parti importanti del sistema.

La scoperta del bug in sé non è recentissima: NowSecure l'aveva segnalato a Samsung già nel dicembre del 2014, appena l'aveva notato, ma la patch preparata dall'azienda all'inizio del 2015 era stata affidata agli operatori per la distribuzione, atteggiamento che ha lasciato privi di protezione moltissimi dispositivi venduti tramite i normali canali.

Di conseguenza, NowSecure ha preferito rendere pubblica la minaccia, costringendo Samsung a correre ai ripari.