Uppdatering 19 juni: Samsungs detaljerade vad du kan göra för att säkerställa att du får rätt till exploiten.
Uppdatering 18 juni: Samsung berättar för Android Central att den förbereder en säkerhetsuppdatering som inte behöver vänta på en fullständig systemuppdatering från operatörerna.
Samsungs lagertangentbord - som det som skickas på sina telefoner - är ämnet för ett stycke från säkerhetsföretaget NowSecure som beskriver en brist som har möjlighet att tillåta att kod körs på distans på din telefon. Samsungs inbyggda tangentbord använder SwiftKey mjukvaruutvecklingspaket för förutsägelse och språkpaket, och det var där utnyttjandet hittades.
NowSecure har rubriken hela saken med "Samsung Keyboard Security Risk Disclosed: Over 600M + Devices Worldwide Impacted." Det är skrämmande klingande grejer. (Särskilt när det inkluderar ljusa röda bakgrunder och skrämmande bilder av vad som allmänt kallas ett dött ansikte.)
Så behöver du oroa dig? Antagligen inte. Låt oss bryta ner det.
Det första är det första: Vi har bekräftat att vi talar om Samsungs aktietangentbord på Galaxy S6, Galaxy S5, Galaxy S4 och GS4 Mini - och inte versionen av SwiftKey som du kan ladda ner från Google Play eller Apple App Store. Det är två mycket olika saker. (Och om du inte använder en Samsung-telefon är det uppenbart inget av detta som gäller dig.)
Vi räckte till SwiftKey, som gav oss följande uttalande:
Vi har sett rapporter om ett säkerhetsproblem relaterat till Samsung-tangentbordet som använder SwiftKey SDK. Vi kan bekräfta att SwiftKey Keyboard-appen som är tillgänglig via Google Play eller Apple App Store inte påverkas av denna sårbarhet. Vi tar rapporter på detta sätt mycket på allvar och undersöker för närvarande ytterligare.
Vi räckte också till Samsung tidigare på dagen men har ännu inte fått någon kommentar. Vi kommer att uppdatera om och när vi får en.
Genom att läsa igenom NowSecures tekniska blogg om utnyttjandet kan vi få en glimt av vad som händer. (Om du läser det själv, notera att där de säger "Swift" betyder de "SwiftKey.") Om du är ansluten till en osäker åtkomstpunkt (som ett öppet Wifi-nätverk), är det möjligt för någon att fånga upp och ändra SwiftKey-språkpaketet när de uppdateras (vilket de med jämna mellanrum gör av uppenbara skäl - förbättrad förutsägelse och vad inte), skicka dina telefondata från angriparna.
Det är dåligt att kunna backa tillbaka. Men återigen är det beroende av att du är i ett osäkert nätverk i första hand (vilket du egentligen inte borde vara - undvika offentliga hotspots som inte använder trådlös säkerhet, eller överväga en VPN). Och någon som är där för att göra något besvärligt i första hand.
Och det beror på att du har en oöverträffad enhet. Som NowSecure själv påpekar, har Samsungs redan lämnat in patchar till transportörerna. Det har bara ingen aning om hur många som har tryckt på lappen, eller slutligen hur många enheter som förblir sårbara.
Det är många variabler och okända som i slutändan lägger till ett annat akademiskt utnyttjande (i motsats till en som har verkliga konsekvenser) som verkligen måste (och har blivit) lappade, även om det understryker vikten av operatörerna som kontrollerar uppdateringar av telefoner i USA för att få uppdateringar snabbare ut.
Uppdatering 17 juni: SwiftKey, i ett blogginlägg, säger:
Vi förser Samsung med kärntekniken som driver ordets förutsägelser på deras tangentbord. Det verkar som om tekniken integrerades på Samsung-enheter införde säkerhetsproblemet. Vi gör allt vi kan för att stödja vår långvariga samarbetspartner Samsung i deras ansträngningar för att lösa denna otydliga men viktiga säkerhetsproblem.
Sårbarheten i fråga utgör en låg risk: en användare måste vara ansluten till ett komprometterat nätverk (t.ex. ett förfalskat offentligt Wi-Fi-nätverk), där en hacker med rätt verktyg specifikt har tänkt att få tillgång till sin enhet. Denna åtkomst är då endast möjlig om användarens tangentbord genomför en språkuppdatering vid den specifika tiden, medan den är ansluten till det komprometterade nätverket.
