Mae ymchwilydd diogelwch wedi darganfod nam meddalwedd ar fysellfwrdd diofyn Samsung sydd wedi datgelu mwy na 600 miliwn o ffonau smart i risg posibl o gael eu hacio. Manylodd Ryan Welton o NowSecure ar fregusrwydd bysellfwrdd SwiftKey a osodwyd ymlaen llaw mewn miliynau o ffonau Samsung. Nid yw chwilio am becynnau iaith ar ffurf diweddariadau a'u llwytho i lawr yn digwydd dros gysylltiad wedi'i amgryptio, ond fe'i hanfonir fel testun plaen yn unig.
Llwyddodd Welton i fanteisio ar y bregusrwydd hwn trwy greu gweinydd ffug-ddirprwy ac anfon cod maleisus i ddyfais fregus ynghyd â dilysu data a sicrhaodd fod y cod maleisus yn aros ar y ddyfais. Unwaith y cafodd Welton fynediad i'r ffonau symudol dan fygythiad, gallai ddechrau defnyddio'r dyfeisiau hebddynt ar unwaith fel bod y defnyddiwr yn gwybod amdano. Pe bai ymosodwr yn manteisio ar y diffyg diogelwch, mae'n bosibl y gallai ddwyn data sensitif sy'n cynnwys negeseuon testun, cysylltiadau, cyfrineiriau neu fewngofnodi cyfrif banc. Heb sôn y gallai'r byg hefyd gael ei ecsbloetio i olrhain defnyddwyr.
Gwnaeth Samsung sylwadau eisoes ar y broblem a grybwyllwyd fis Tachwedd diwethaf a honnodd y bydd y gwall hwn yn cael ei drwsio ar ddyfeisiau Androidom 4.2 neu'n hwyrach ym mis Mawrth. Beth bynnag, dywed NowSecure fod y diffyg yn dal i fodoli, a dangosodd Welton hynny yn Uwchgynhadledd Diogelwch Llundain ar ffonau smart Galaxy S6 o Verizon ac felly yn tynnu sylw ato eto.
Mae Andrew Hoog o NowSecure yn credu y gellir manteisio ar y diffyg ar rai dyfeisiau allweddol a chymharol ddiweddar fel Galaxy Nodyn 3, Nodyn 4, Galaxy S3, S4, S5 ac yn y blaen Galaxy S6 a S6 ymyl. Mae'n werth meddwl oherwydd dywed Welton, hyd yn oed os nad yw defnyddiwr yn defnyddio bysellfwrdd Samsung, mae risg o hyd y bydd data sensitif yn cael ei gamddefnyddio a'i ddwyn oherwydd na ellir dadosod y bysellfwrdd.
Hyd nes y bydd Samsung yn cyhoeddi ateb swyddogol, mae Welton yn argymell perchnogion ffonau clyfar Galaxy yn ofalus iawn wrth eu defnyddio ar rwydweithiau WiFi agored nad ydynt yn eu hadnabod i leihau'r siawns o ymosodiad. Byddai'n rhaid i haciwr posibl fod ar yr un rhwydwaith â defnyddiwr y ffôn clyfar er mwyn dwyn y data. Dim ond trwy atafaelu gweinydd DNS a fyddai'n cynnwys data o lwybrydd anghysbell y byddai cam-drin o bell yn bosibl, ac yn ffodus nid yw'n hawdd chwaith.
Ni wnaeth Samsung sylw ar y sefyllfa bresennol.
*Ffynhonnell: SamMobile
