Kaip rašo „Arstechnica.com“, pažeidžiamumas slypi „Samsung“ modifikuotame „SwiftKey“ atnaujinimo mechanizme, kuris naudojamas „Samsung Galaxy“ S5, S6 ir kai kuriuose kituose modeliuose. Siunčiantis atnaujinimus, „Samsung“ nešifruoja paleidžiamųjų rinkmenų, todėl programišiai, perėmę į telefoną siunčiamų duomenų srautą (kas yra gana nesudėtinga naudojantis slaptažodžiu neapsaugoti „Wi-Fi“ ryšiu), gali pakeisti tikrąją atnaujinimų rinkmeną tuo, kas programišiui labiausiai patinka. Saugumo spragos panaudojimą antradienį Londone, „Blackhat“ technologijų saugumo konferencijoje, pademonstravo IT saugumo bendrovės „NowSecure“ specialistas Ryanas Weltonas.
Telefonai, kuriuose būna iš anksto įdiegta „Samsung IME“ klaviatūra (taip „Samsung“ pristato savo modifikuotą „Swiftkey“ versiją), periodiškai siunčia užklausas autorizuotai tarnybinei stočiai ir tikrina, ar klaviatūros programai ar joje naudojamam kalbų paketui neatsirado atnaujinimo. Programišius, vykdantis „man-in-the-middle“ tipo ataką, gali apsimesti tarnybine stotimi ir telefonui išsiųsti atsakymą, kuriame vietoj tikro atnaujinimo siūlomas piktybinis turinys, įdiegiamas kaip kalbų paketo atnaujinimas. Kadangi „Samsung“ telefonuose programinės įrangos atnaujinimams teikiamos labai aukštos privilegijos, piktybinis turinys sugeba prasmukti pro apsauginius mechanizmus, įdiegtus į „Google Android“ operacinę sistemą, paprastai ribojančią trečiųjų šalių sukurtoms programėlėms teikiamą prieigą prie telefono komponentų.
Stebėtina tai, kad „Zip“ formatu suglaudinta rinkmena, siunčiama atnaujinant klaviatūrą, siuntimo metu nėra apsaugota šifravimu, todėl programišius ją gali pakeisti.
R. Weltonas sakė, kad saugumo spraga telefonuose būna nepriklausomai nuo to, kokią klaviatūrą telefonas naudoja: netgi jeigu vartotojui „Samsung IME“ klaviatūra ne prie širdies, užgrobti telefoną įmanoma. Be to, programišiui nereikia laukti, kol „Samsung“ paruoš tikrą klaviatūros atnaujinimą – jo sukurtos piktybinės rinkmenos gali puikiausiai apsimesti „reikalingu atnaujinimu“. „SwiftKey“ klaviatūrą gali atsisiųsti bet kuris „Android“ įrenginio naudotojas, tačiau kol kas tiksliai nėra žinoma, ar ir nemodifikuotoje versijoje yra ta pati spraga, mat šios programėlės atnaujinimas vykdomas per įprastinį „Google Play“ mechanizmą.
Kol kas asmenys, kurių telefonai yra galimai pažeidžiami, nelabai gali apsisaugoti nuo tokio tipo atakų – gal tik išskyrus atvirų „Wi-Fi“ prisijungimo taškų vengimu. Bet net ir tuomet gudresni programišiai gali rasti būtų apsimesti „atnaujinimų tarnybine stotimi“. Programėlės, kurioje yra saugumo spraga, pašalinti neįmanoma netgi turint ir naudojant kitokią klaviatūrą.