Næsten alle tastaturapps, der tillader brugere at indtaste kinesiske tegn i deres Android, iOS eller andre mobile enheder, er sårbare over for angreb, der tillader en modstander at fange hele deres tastetryk.
Dette inkluderer data såsom login-legitimationsoplysninger, økonomiske oplysninger og beskeder, der ellers ville være ende-til-ende-krypteret, har en ny undersøgelse fra Toronto University's Citizen Lab afsløret.
Allestedsnærværende problem
For studere, overvejede forskere ved laboratoriet skybaserede Pinyin-apps (som gengiver kinesiske tegn til ord stavet med romerske bogstaver) fra ni leverandører, der sælger til brugere i Kina: Baidu, Samsung, Huawei, Tencent, Xiaomi, Vivo, OPPO, iFlytek og Honor . Deres undersøgelse viste, at alle undtagen appen fra Huawei transmitterede tastetrykdata til skyen på en måde, der gjorde det muligt for en passiv aflytning at læse indholdet i klartekst og med lidt besvær. Citizen Lab-forskere, der har oparbejdet et ry gennem årene for at afsløre flere cyberspionage, overvågning og andre trusler rettet mod mobilbrugere og civilsamfundet, sagde hver af dem indeholder mindst én udnyttelig sårbarhed i, hvordan de håndterer transmissioner af brugertastetryk til skyen.
Omfanget af sårbarheder bør ikke undervurderes, skrev Citizen Lab-forskerne Jeffrey Knockel, Mona Wang og Zoe Reichert i en rapport, der opsummerer deres resultater i denne uge: Forskerne fra Citizen Lab fandt ud af, at 76 % af brugere af tastaturapps på det kinesiske fastland, faktisk, brug et pinyin-tastatur til at indtaste kinesiske tegn.
"Alle de sårbarheder, som vi dækkede i denne rapport, kan udnyttes fuldstændig passivt uden at sende yderligere netværkstrafik," sagde forskerne. Og for at starte var sårbarhederne nemme at opdage og kræver ingen teknologisk sofistikering at udnytte, bemærkede de. "Som sådan kan vi undre os over, om disse sårbarheder er aktivt under masseudnyttelse?"
Hver af de sårbare Pinyin-tastaturapps, som Citizen Lab undersøgte, havde både en lokal komponent på enheden og en skybaseret forudsigelsestjeneste til håndtering af lange strenge af stavelser og særligt komplekse tegn. Af de ni apps, de så på, var tre fra mobile softwareudviklere - Tencent, Baidu og iFlytek. De resterende fem var apps, som Samsung, Xiaomi, OPPO, Vivo og Honor - alle producenter af mobilenheder - enten havde udviklet på egen hånd eller havde integreret i deres enheder fra en tredjepartsudvikler.
Kan udnyttes via aktive og passive metoder
Udnyttelsesmetoder er forskellige for hver app. Tencents QQ Pinyin-app til Android og Windows havde for eksempel en sårbarhed, der gjorde det muligt for forskerne at skabe en fungerende udnyttelse til at dekryptere tastetryk via aktive aflytningsmetoder. Baidu's IME til Windows indeholdt en lignende sårbarhed, som Citizen Lab skabte en fungerende udnyttelse for at dekryptere tastetryksdata via både aktive og passive aflytningsmetoder.
Forskerne fandt andre krypterede relaterede privatlivs- og sikkerhedssvagheder i Baidu's iOS- og Android-versioner, men udviklede ikke udnyttelser til dem. iFlyteks app til Android havde en sårbarhed, der gjorde det muligt for en passiv aflytning at komme sig i klartekst-tastaturtransmissioner på grund af utilstrækkelig mobil kryptering.
På hardwareleverandørens side tilbød Samsungs hjemmelavede tastaturapp slet ingen kryptering og sendte i stedet tastetrykstransmissioner i det fri. Samsung giver også brugerne mulighed for enten at bruge Tencents Sogou-app eller en app fra Baidu på deres enheder. Af de to apps identificerede Citizen Lab Baidus tastaturapp som værende sårbar over for angreb.
Forskerne var ikke i stand til at identificere noget problem med Vivos internt udviklede Pinyin-tastaturapp, men havde en fungerende udnyttelse af en sårbarhed, de opdagede i en Tencent-app, der også er tilgængelig på Vivos enheder.
Tredjeparts Pinyin-apps (fra Baidu, Tencent og iFlytek), der er tilgængelige med enheder fra de andre mobilenhedsproducenter, havde alle også sårbarheder, der kunne udnyttes.
Det er ikke ualmindelige problemer, viser det sig. Sidste år havde Citizen Labs gennemført en separat undersøgelse i Tencents Sogou - brugt af omkring 450 millioner mennesker i Kina - og fundet sårbarheder, der udsatte tastetryk for aflytningsangreb.
"Ved at kombinere sårbarhederne opdaget i denne og vores tidligere rapport, der analyserer Sogous tastaturapps, anslår vi, at op til en milliard brugere er berørt af disse sårbarheder," sagde Citizen Lab.
Sårbarhederne kunne muliggøre masseovervågning af kinesiske brugere af mobilenheder - herunder af signalefterretningstjenester, der tilhører de såkaldte Five Eyes-nationer - USA, Storbritannien, Canada, Australien og New Zealand - sagde Citizen Lab; sårbarhederne i tastaturapps, som Citizen Lab opdagede i sin nye forskning, ligner meget sårbarheder i den Kina-udviklede UC-browser, som efterretningstjenester fra disse lande udnyttede til overvågningsformål, bemærkede rapporten.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/endpoint-security/most-chinese-keyboard-apps-vulnerable-to-eavesdropping
