Generative Datenintelligenz

Cybersicherheit

Chinesische Tastatur-Apps machen 1 Milliarde Menschen zum Abhören bereit

Neuauflage von Plato
Neuauflage von Plato

Datum:

Views: 0

Nahezu alle Tastatur-Apps, mit denen Benutzer chinesische Zeichen in ihr Android-, iOS- oder anderes Mobilgerät eingeben können, sind anfällig für Angriffe, die es einem Angreifer ermöglichen, die gesamten Tastatureingaben zu erfassen.

Dazu gehören Daten wie Anmeldedaten, Finanzinformationen und Nachrichten, die andernfalls Ende-zu-Ende-verschlüsselt wären, wie eine neue Studie des Citizen Lab der Universität Toronto ergab.

Allgegenwärtiges Problem

NB: StudieForscher des Labors untersuchten cloudbasierte Pinyin-Apps (die chinesische Schriftzeichen in mit lateinischen Buchstaben geschriebene Wörter umwandeln) von neun Anbietern, die an Benutzer in China verkaufen: Baidu, Samsung, Huawei, Tencent, Xiaomi, Vivo, OPPO, iFlytek und Honor . Ihre Untersuchung ergab, dass alle außer der Huawei-App Tastenanschlagsdaten auf eine Weise an die Cloud übermittelten, die es einem passiven Lauscher ermöglichte, den Inhalt im Klartext und ohne große Schwierigkeiten zu lesen. Forscher des Citizen Lab, die sich im Laufe der Jahre den Ruf erworben haben, zahlreiche Cyber-Spionagefälle aufzudecken, Überwachung und andere Bedrohungen Die auf mobile Benutzer und die Zivilgesellschaft ausgerichteten Programme weisen darauf hin, dass jede von ihnen mindestens eine ausnutzbare Schwachstelle in der Art und Weise aufweist, wie sie mit der Übertragung von Tastenanschlägen der Benutzer in die Cloud umgehen.

Das Ausmaß der Schwachstellen sollte nicht unterschätzt werden, schreiben die Citizen Lab-Forscher Jeffrey Knockel, Mona Wang und Zoe Reichert diese Woche in einem Bericht, der ihre Ergebnisse zusammenfasst: Die Forscher vom Citizen Lab fanden heraus, dass 76 % der Tastatur-App-Benutzer auf dem chinesischen Festland tatsächlich Verwenden Sie eine Pinyin-Tastatur, um chinesische Zeichen einzugeben.

„Alle Schwachstellen, die wir in diesem Bericht behandelt haben, können völlig passiv ausgenutzt werden, ohne dass zusätzlicher Netzwerkverkehr gesendet wird“, sagten die Forscher. Darüber hinaus seien die Schwachstellen leicht zu entdecken und für deren Ausnutzung sei keine technische Raffinesse erforderlich, stellten sie fest. „Daher fragen wir uns vielleicht, ob diese Schwachstellen aktiv und massenhaft ausgenutzt werden?“

Jede der anfälligen Pinyin-Tastatur-Apps, die Citizen Lab untersuchte, verfügte sowohl über eine lokale Komponente auf dem Gerät als auch über einen cloudbasierten Vorhersagedienst für die Verarbeitung langer Silbenfolgen und besonders komplexer Zeichen. Von den neun Apps, die sie untersuchten, stammten drei von mobilen Softwareentwicklern – Tencent, Baidu und iFlytek. Bei den restlichen fünf handelte es sich um Apps, die Samsung, Xiaomi, OPPO, Vivo und Honor – allesamt Mobilgerätehersteller – entweder selbst entwickelt oder von einem Drittentwickler in ihre Geräte integriert hatten.

Ausnutzbar durch aktive und passive Methoden

Die Ausnutzungsmethoden unterscheiden sich je nach App. Die QQ Pinyin-App von Tencent für Android und Windows beispielsweise wies eine Schwachstelle auf, die es den Forschern ermöglichte, einen funktionierenden Exploit zum Entschlüsseln von Tastenanschlägen über aktive Abhörmethoden zu erstellen. Baidus IME für Windows enthielt eine ähnliche Schwachstelle, für die Citizen Lab einen funktionierenden Exploit zum Entschlüsseln von Tastenanschlagsdaten sowohl über aktive als auch passive Abhörmethoden erstellt hat.

Die Forscher fanden in den iOS- und Android-Versionen von Baidu weitere mit der Verschlüsselung zusammenhängende Datenschutz- und Sicherheitslücken, entwickelten jedoch keine Exploits für diese. Die App von iFlytek für Android wies eine Schwachstelle auf, die es einem passiven Abhörer ermöglichte, sich aufgrund unzureichender Tastaturübertragungen im Klartext wiederzufinden mobile Verschlüsselung.

Auf der Seite des Hardware-Anbieters bot die selbst entwickelte Tastatur-App von Samsung überhaupt keine Verschlüsselung und übermittelte stattdessen die Übertragung von Tastenanschlägen im Klartext. Samsung bietet Nutzern zudem die Möglichkeit, entweder die Sogou-App von Tencent oder eine App von Baidu auf ihren Geräten zu nutzen. Von den beiden Apps identifizierte Citizen Lab die Tastatur-App von Baidu als anfällig für Angriffe.

Die Forscher konnten kein Problem mit der intern entwickelten Pinyin-Tastatur-App von Vivo feststellen, verfügten jedoch über einen funktionierenden Exploit für eine Schwachstelle, die sie in einer Tencent-App entdeckt hatten, die auch auf den Geräten von Vivo verfügbar ist.

Auch die Pinyin-Apps von Drittanbietern (von Baidu, Tencent und iFlytek), die auf Geräten anderer Mobilgerätehersteller verfügbar sind, wiesen ausnutzbare Schwachstellen auf.

Es stellt sich heraus, dass dies keine ungewöhnlichen Probleme sind. Letztes Jahr hatte Citizen Labs eine separate Untersuchung in Tencents Sogou durchgeführt – das von etwa 450 Millionen Menschen in China genutzt wird – und Schwachstellen gefunden, die Tastenanschläge Abhörangriffen aussetzen.

„Wenn wir die in diesem und unserem vorherigen Bericht zur Analyse der Tastatur-Apps von Sogou entdeckten Schwachstellen kombinieren, schätzen wir, dass bis zu einer Milliarde Benutzer von diesen Schwachstellen betroffen sind“, sagte Citizen Lab.

Die Schwachstellen könnten Massenüberwachung ermöglichen von chinesischen Nutzern mobiler Geräte – unter anderem von Signalnachrichtendiensten der sogenannten Five Eyes-Nationen – USA, Großbritannien, Kanada, Australien und Neuseeland – sagte Citizen Lab; Die Schwachstellen in den Tastatur-Apps, die Citizen Lab in seiner neuen Forschung entdeckt hat, ähneln stark den Schwachstellen im in China entwickelten UC-Browser, den Geheimdienste dieser Länder zu Überwachungszwecken ausnutzten, heißt es in dem Bericht.

spot_img

Neueste Intelligenz

spot_img

Copyright @ 2024 Plato Technologies Inc.

Chat mit uns

Hallo! Wie kann ich dir helfen?