Bijna alle toetsenbord-apps waarmee gebruikers Chinese karakters kunnen invoeren op hun Android-, iOS- of andere mobiele apparaten zijn kwetsbaar voor aanvallen waarmee een tegenstander al hun toetsaanslagen kan vastleggen.
Dit omvat gegevens zoals inloggegevens, financiële informatie en berichten die anders end-to-end gecodeerd zouden zijn, zo blijkt uit een nieuw onderzoek van het Citizen Lab van de Universiteit van Toronto.
Alomtegenwoordig probleem
Voor de studiesonderzochten onderzoekers van het laboratorium cloudgebaseerde Pinyin-apps (die Chinese karakters omzetten in woorden die met Romeinse letters worden gespeld) van negen leveranciers die aan gebruikers in China verkopen: Baidu, Samsung, Huawei, Tencent, Xiaomi, Vivo, OPPO, iFlytek en Honor . Uit hun onderzoek bleek dat alles, behalve de app van Huawei, toetsaanslaggegevens naar de cloud verzendt op een manier die een passieve afluisteraar in staat stelt de inhoud in duidelijke tekst en met weinig moeite te lezen. Citizen Lab-onderzoekers, die door de jaren heen een reputatie hebben opgebouwd voor het blootleggen van meerdere cyberspionage, toezicht en andere bedreigingen gericht op mobiele gebruikers en het maatschappelijk middenveld, zeiden dat elk van hen ten minste één exploiteerbare kwetsbaarheid bevat in de manier waarop zij omgaan met de overdracht van toetsaanslagen van gebruikers naar de cloud.
De omvang van de kwetsbaarheden mag niet worden onderschat, schreven Citizen Lab-onderzoekers Jeffrey Knockel, Mona Wang en Zoe Reichert in een rapport waarin ze hun bevindingen deze week samenvatten: De onderzoekers van Citizen Lab ontdekten dat 76% van de gebruikers van toetsenbordapps op het vasteland van China, in feite, gebruik een Pinyin-toetsenbord om Chinese karakters in te voeren.
“Alle kwetsbaarheden die we in dit rapport hebben behandeld, kunnen geheel passief worden uitgebuit zonder dat er extra netwerkverkeer wordt verzonden”, aldus de onderzoekers. En bovendien waren de kwetsbaarheden gemakkelijk te ontdekken en vereisen ze geen technologische verfijning om te misbruiken, merkten ze op. “Als zodanig kunnen we ons afvragen: worden deze kwetsbaarheden actief onder massale uitbuiting?”
Elk van de kwetsbare Pinyin-toetsenbordapps die Citizen Lab onderzocht, had zowel een lokale component op het apparaat als een cloudgebaseerde voorspellingsservice voor het verwerken van lange reeksen lettergrepen en bijzonder complexe karakters. Van de negen apps die ze bekeken, waren er drie van ontwikkelaars van mobiele software: Tencent, Baidu en iFlytek. De overige vijf waren apps die Samsung, Xiaomi, OPPO, Vivo en Honor – allemaal fabrikanten van mobiele apparaten – zelf hadden ontwikkeld of door een externe ontwikkelaar in hun apparaten hadden geïntegreerd.
Exploiteerbaar via actieve en passieve methoden
De exploitatiemethoden verschillen per app. De QQ Pinyin-app van Tencent voor Android en Windows had bijvoorbeeld een kwetsbaarheid waardoor de onderzoekers een werkende exploit konden maken voor het ontsleutelen van toetsaanslagen via actieve afluistermethoden. Baidu's IME voor Windows bevatte een soortgelijke kwetsbaarheid, waarvoor Citizen Lab een werkende exploit creëerde voor het decoderen van toetsaanslaggegevens via zowel actieve als passieve afluistermethoden.
De onderzoekers ontdekten andere gecodeerde privacy- en beveiligingsproblemen in de iOS- en Android-versies van Baidu, maar ontwikkelden daar geen exploits voor. De app van iFlytek voor Android bevatte een kwetsbaarheid waardoor een passieve afluisteraar zich kon herstellen bij toetsenbordtransmissies in platte tekst vanwege onvoldoende mobiele encryptie.
Aan de kant van de hardwareleverancier bood de eigen toetsenbord-app van Samsung helemaal geen codering en stuurde in plaats daarvan toetsaanslagtransmissies transparant. Samsung biedt gebruikers ook de mogelijkheid om de Sogou-app van Tencent of een app van Baidu op hun apparaten te gebruiken. Van de twee apps heeft Citizen Lab de toetsenbord-app van Baidu geïdentificeerd als kwetsbaar voor aanvallen.
De onderzoekers konden geen enkel probleem identificeren met Vivo's intern ontwikkelde Pinyin-toetsenbordapp, maar hadden een werkende exploit voor een kwetsbaarheid die ze ontdekten in een Tencent-app die ook beschikbaar is op Vivo's apparaten.
De Pinyin-apps van derden (van Baidu, Tencent en iFlytek) die beschikbaar zijn met apparaten van andere fabrikanten van mobiele apparaten vertoonden ook allemaal exploiteerbare kwetsbaarheden.
Dit zijn geen ongebruikelijke problemen, zo blijkt. Vorig jaar had Citizen Labs een afzonderlijk onderzoek uitgevoerd in Tencent's Sogou – gebruikt door zo'n 450 miljoen mensen in China – en kwetsbaarheden gevonden die toetsaanslagen blootstelden aan afluisteraanvallen.
“Door de kwetsbaarheden die in dit rapport zijn ontdekt te combineren met ons vorige rapport waarin we de toetsenbord-apps van Sogou analyseerden, schatten we dat maximaal één miljard gebruikers door deze kwetsbaarheden worden getroffen”, aldus Citizen Lab.
De kwetsbaarheden zouden dat kunnen zijn massasurveillance mogelijk maken van Chinese gebruikers van mobiele apparaten – inclusief door inlichtingendiensten die behoren tot de zogenaamde Five Eyes-landen – VS, VK, Canada, Australië en Nieuw-Zeeland – aldus Citizen Lab; De kwetsbaarheden in de toetsenbord-apps die Citizen Lab in zijn nieuwe onderzoek ontdekte, lijken sterk op kwetsbaarheden in de door China ontwikkelde UC-browser die inlichtingendiensten uit deze landen voor surveillancedoeleinden exploiteerden, aldus het rapport.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/endpoint-security/most-chinese-keyboard-apps-vulnerable-to-eavesdropping
