Casi todas las aplicaciones de teclado que permiten a los usuarios ingresar caracteres chinos en sus dispositivos móviles Android, iOS u otros son vulnerables a ataques que permiten a un adversario capturar la totalidad de sus pulsaciones de teclas.
Esto incluye datos como credenciales de inicio de sesión, información financiera y mensajes que de otro modo estarían cifrados de extremo a extremo, según ha descubierto un nuevo estudio realizado por el Citizen Lab de la Universidad de Toronto.
Problema omnipresente
Para el estudio , los investigadores del laboratorio consideraron aplicaciones Pinyin basadas en la nube (que convierten los caracteres chinos en palabras escritas con letras romanas) de nueve proveedores que venden a usuarios en China: Baidu, Samsung, Huawei, Tencent, Xiaomi, Vivo, OPPO, iFlytek y Honor. . Su investigación mostró que todos, excepto la aplicación de Huawei, transmitían datos de pulsaciones de teclas a la nube de una manera que permitía a un espía pasivo leer el contenido en texto claro y con poca dificultad. Los investigadores de Citizen Lab, que se han ganado una reputación a lo largo de los años por exponer múltiples casos de ciberespionaje, vigilancia y otras amenazas dirigido a usuarios móviles y la sociedad civil, dijo que cada uno de ellos contiene al menos una vulnerabilidad explotable en la forma en que manejan las transmisiones de las pulsaciones de teclas de los usuarios a la nube.
No se debe subestimar el alcance de las vulnerabilidades, escribieron los investigadores de Citizen Lab Jeffrey Knockel, Mona Wang y Zoe Reichert en un informe que resume sus hallazgos esta semana: Los investigadores de Citizen Lab descubrieron que el 76% de los usuarios de aplicaciones de teclado en China continental, de hecho, use un teclado Pinyin para ingresar caracteres chinos.
"Todas las vulnerabilidades que cubrimos en este informe se pueden explotar de forma totalmente pasiva sin enviar ningún tráfico de red adicional", dijeron los investigadores. Y para empezar, las vulnerabilidades fueron fáciles de descubrir y no requieren ninguna sofisticación tecnológica para explotarlas, señalaron. "Por lo tanto, podríamos preguntarnos: ¿están estas vulnerabilidades activamente bajo explotación masiva?"
Cada una de las aplicaciones vulnerables de teclado Pinyin que examinó Citizen Lab tenía un componente local en el dispositivo y un servicio de predicción basado en la nube para manejar largas cadenas de sílabas y caracteres particularmente complejos. De las nueve aplicaciones que examinaron, tres eran de desarrolladores de software móvil: Tencent, Baidu e iFlytek. Las cinco restantes eran aplicaciones que Samsung, Xiaomi, OPPO, Vivo y Honor (todos fabricantes de dispositivos móviles) habían desarrollado por su cuenta o habían integrado en sus dispositivos a través de un desarrollador externo.
Explotable mediante métodos activos y pasivos
Los métodos de explotación difieren para cada aplicación. La aplicación QQ Pinyin de Tencent para Android y Windows, por ejemplo, tenía una vulnerabilidad que permitió a los investigadores crear un exploit funcional para descifrar las pulsaciones de teclas mediante métodos de escucha activa. El IME de Baidu para Windows contenía una vulnerabilidad similar, para la cual Citizen Lab creó un exploit funcional para descifrar datos de pulsaciones de teclas mediante métodos de escucha tanto activos como pasivos.
Los investigadores encontraron otras debilidades de seguridad y privacidad relacionadas con el cifrado en las versiones de iOS y Android de Baidu, pero no desarrollaron exploits para ellas. La aplicación de iFlytek para Android tenía una vulnerabilidad que permitía a un espía pasivo recuperarse en transmisiones de teclado de texto plano debido a insuficiencia cifrado móvil.
Por el lado del proveedor de hardware, la aplicación de teclado propia de Samsung no ofrecía cifrado alguno y en su lugar enviaba transmisiones de pulsaciones de teclas de forma clara. Samsung también ofrece a los usuarios la opción de utilizar la aplicación Sogou de Tencent o una aplicación de Baidu en sus dispositivos. De las dos aplicaciones, Citizen Lab identificó la aplicación de teclado de Baidu como vulnerable a ataques.
Los investigadores no pudieron identificar ningún problema con la aplicación de teclado Pinyin desarrollada internamente por Vivo, pero encontraron un exploit funcional para una vulnerabilidad que descubrieron en una aplicación Tencent que también está disponible en los dispositivos de Vivo.
Las aplicaciones Pinyin de terceros (de Baidu, Tencent e iFlytek) que están disponibles con dispositivos de otros fabricantes de dispositivos móviles también tenían vulnerabilidades explotables.
Resulta que estos no son problemas poco comunes. El año pasado, Citizen Labs llevó a cabo una investigación independiente en Sogou de Tencent (utilizado por unos 450 millones de personas en China) y encontró vulnerabilidades que exponían las pulsaciones de teclas a ataques de escuchas ilegales.
"Combinando las vulnerabilidades descubiertas en este y nuestro informe anterior que analiza las aplicaciones de teclado de Sogou, estimamos que hasta mil millones de usuarios se ven afectados por estas vulnerabilidades", dijo Citizen Lab.
Las vulnerabilidades podrían permitir la vigilancia masiva de los usuarios de dispositivos móviles chinos, incluidos los servicios de inteligencia de señales pertenecientes a las llamadas naciones de los Cinco Ojos: EE. UU., Reino Unido, Canadá, Australia y Nueva Zelanda, dijo Citizen Lab; Las vulnerabilidades en las aplicaciones de teclado que Citizen Lab descubrió en su nueva investigación son muy similares a las vulnerabilidades en el navegador UC desarrollado en China que las agencias de inteligencia de estos países explotaron con fines de vigilancia, señaló el informe.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/endpoint-security/most-chinese-keyboard-apps-vulnerable-to-eavesdropping
