사용자가 Android, iOS 또는 기타 모바일 장치에 중국어 문자를 입력할 수 있도록 하는 거의 모든 키보드 앱은 공격자가 키 입력 전체를 캡처할 수 있도록 허용하는 공격에 취약합니다.
여기에는 로그인 자격 증명, 금융 정보, 메시지 등의 데이터가 포함되며, 그렇지 않으면 종단 간 암호화될 수 있다고 토론토 대학의 Citizen Lab이 실시한 새로운 연구에서 밝혀졌습니다.
유비쿼터스 문제
다음 공부연구실의 연구원들은 Baidu, Samsung, Huawei, Tencent, Xiaomi, Vivo, OPPO, iFlytek 및 Honor 등 중국 사용자에게 판매하는 9개 공급업체의 클라우드 기반 병음 앱(한자를 로마자로 표기된 단어로 변환)을 고려했습니다. . 그들의 조사에 따르면 화웨이의 앱을 제외한 모든 앱은 수동적인 도청자가 일반 텍스트로 내용을 거의 어려움 없이 읽을 수 있는 방식으로 키 입력 데이터를 클라우드로 전송하는 것으로 나타났습니다. 여러 사이버 스파이 활동을 폭로하여 수년 동안 명성을 얻은 Citizen Lab 연구원은 감시 및 기타 위협 모바일 사용자와 시민 사회를 대상으로 하며, 각각은 사용자 키 입력을 클라우드로 전송하는 방식에 악용 가능한 취약점을 하나 이상 포함하고 있다고 말했습니다.
Citizen Lab의 연구원인 Jeffrey Knockel, Mona Wang 및 Zoe Reichert는 이번 주에 발견한 내용을 요약한 보고서에서 취약점의 범위를 과소평가해서는 안 된다고 밝혔습니다. Citizen Lab의 연구원들은 실제로 중국 본토 키보드 앱 사용자의 76%가 다음과 같은 사실을 발견했습니다. 병음 키보드를 사용하여 한자를 입력합니다.
연구원들은 “이 보고서에서 다룬 모든 취약점은 추가 네트워크 트래픽을 보내지 않고도 완전히 수동적으로 악용될 수 있습니다.”라고 말했습니다. 그리고 취약점은 발견하기 쉬웠으며 악용하는 데 기술적 정교함이 필요하지 않다고 그들은 지적했습니다. "그러면 이러한 취약점이 대량 악용되고 있는지 궁금할 것입니다."
Citizen Lab이 조사한 각 취약한 병음 키보드 앱에는 긴 음절 문자열과 특히 복잡한 문자를 처리하기 위한 로컬, 기기 내 구성 요소와 클라우드 기반 예측 서비스가 모두 있었습니다. 그들이 조사한 9개의 앱 중 3개는 Tencent, Baidu, iFlytek 등 모바일 소프트웨어 개발자의 앱이었습니다. 나머지 5개는 Samsung, Xiaomi, OPPO, Vivo 및 Honor(모두 모바일 장치 제조업체)가 자체적으로 개발했거나 타사 개발자가 장치에 통합한 앱이었습니다.
능동 및 수동 방법을 통해 악용 가능
앱마다 악용 방법이 다릅니다. 예를 들어 Tencent의 Android 및 Windows용 QQ Pinyin 앱에는 연구원들이 활성 도청 방법을 통해 키 입력을 해독하는 작업 익스플로잇을 만들 수 있는 취약점이 있었습니다. Baidu의 Windows용 IME에는 유사한 취약점이 포함되어 있으며 Citizen Lab은 능동 및 수동 도청 방법을 통해 키 입력 데이터를 해독하기 위한 작동하는 익스플로잇을 만들었습니다.
연구원들은 Baidu의 iOS 및 Android 버전에서 암호화된 다른 개인 정보 보호 및 보안 취약점을 발견했지만 이에 대한 악용을 개발하지는 않았습니다. iFlytek의 Android용 앱에는 불충분한 정보로 인해 수동적인 도청자가 일반 텍스트 키보드 전송을 복구할 수 있는 취약점이 있었습니다. 모바일 암호화.
하드웨어 공급업체 측에서 삼성이 자체 제작한 키보드 앱은 암호화를 전혀 제공하지 않고 대신 키 입력 전송을 암호화되지 않은 상태로 보냈습니다. 삼성은 또한 사용자에게 Tencent의 Sogou 앱이나 Baidu의 앱을 기기에서 사용할 수 있는 옵션을 제공합니다. Citizen Lab은 두 앱 중 Baidu의 키보드 앱이 공격에 취약한 것으로 식별했습니다.
연구원들은 Vivo가 내부적으로 개발한 Pinyin 키보드 앱에서 어떤 문제도 식별할 수 없었지만 Vivo의 기기에서도 사용할 수 있는 Tencent 앱에서 발견한 취약점을 악용할 수 있었습니다.
다른 모바일 장치 제조업체의 장치에서 사용할 수 있는 타사 병음 앱(Baidu, Tencent 및 iFlytek)에도 모두 악용 가능한 취약점이 있었습니다.
이는 드문 문제가 아닌 것으로 밝혀졌습니다. 작년에 Citizen Labs는 중국에서 약 450억 XNUMX천만 명이 사용하는 Tencent의 Sogou에 대해 별도의 조사를 실시하여 키 입력을 도청 공격에 노출시키는 취약점을 발견했습니다.
Citizen Lab은 “이번 보고서에서 발견된 취약점과 Sogou의 키보드 앱을 분석한 이전 보고서를 결합하면 최대 10억 명의 사용자가 이러한 취약점의 영향을 받는 것으로 추정됩니다.”라고 밝혔습니다.
취약점은 다음과 같습니다. 대량 감시를 가능하게 하다 미국, 영국, 캐나다, 호주, 뉴질랜드 등 소위 Five Eyes 국가에 속한 신호 정보 서비스를 포함한 중국 모바일 장치 사용자의 비율 보고서는 Citizen Lab이 새로운 연구에서 발견한 키보드 앱의 취약점은 이들 국가의 정보 기관이 감시 목적으로 악용한 중국이 개발한 UC 브라우저의 취약점과 매우 유사하다고 지적했습니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/endpoint-security/most-chinese-keyboard-apps-vulnerable-to-eavesdropping
