Nesten alle tastaturapper som lar brukere skrive inn kinesiske tegn i Android, iOS eller andre mobile enheter er sårbare for angrep som lar en motstander fange opp hele tastetrykkene deres.
Dette inkluderer data som påloggingsinformasjon, finansiell informasjon og meldinger som ellers ville vært kryptert fra ende til ende, har en ny studie fra Toronto Universitys Citizen Lab avdekket.
Allestedsnærværende problem
For det studere, vurderte forskere ved laboratoriet skybaserte Pinyin-apper (som gjengir kinesiske tegn til ord stavet med romerske bokstaver) fra ni leverandører som selger til brukere i Kina: Baidu, Samsung, Huawei, Tencent, Xiaomi, Vivo, OPPO, iFlytek og Honor . Undersøkelsen deres viste at alle unntatt appen fra Huawei overfører tastetrykkdata til skyen på en måte som gjorde det mulig for en passiv avlytting å lese innholdet i klartekst og med små problemer. Citizen Lab-forskere, som har opparbeidet seg et rykte gjennom årene for å avsløre flere cyberspionasjer, overvåking og andre trusler rettet mot mobile brukere og det sivile samfunn, sa at hver av dem inneholder minst én utnyttelig sårbarhet i hvordan de håndterer overføringer av brukertastetrykk til skyen.
Omfanget av sårbarheter bør ikke undervurderes, skrev Citizen Lab-forskerne Jeffrey Knockel, Mona Wang og Zoe Reichert i en rapport som oppsummerer funnene deres denne uken: Forskerne fra Citizen Lab fant at 76 % av brukere av tastaturapper i fastlands-Kina, faktisk, bruk et pinyin-tastatur til å skrive inn kinesiske tegn.
"Alle sårbarhetene som vi dekket i denne rapporten kan utnyttes helt passivt uten å sende ytterligere nettverkstrafikk," sa forskerne. Og for å starte opp var sårbarhetene enkle å oppdage og krever ingen teknologisk raffinement å utnytte, bemerket de. "Som sådan kan vi spørre oss om disse sårbarhetene er aktivt under masseutnyttelse?"
Hver av de sårbare Pinyin-tastaturappene som Citizen Lab undersøkte hadde både en lokal komponent på enheten og en skybasert prediksjonstjeneste for håndtering av lange stavelser og spesielt komplekse tegn. Av de ni appene de så på, var tre fra mobile programvareutviklere - Tencent, Baidu og iFlytek. De resterende fem var apper som Samsung, Xiaomi, OPPO, Vivo og Honor – alle produsenter av mobilenheter – enten hadde utviklet på egen hånd eller hadde integrert i enhetene sine fra en tredjepartsutvikler.
Utnyttbar via aktive og passive metoder
Utnyttelsesmetoder varierer for hver app. Tencents QQ Pinyin-app for Android og Windows hadde for eksempel en sårbarhet som gjorde det mulig for forskerne å lage en fungerende utnyttelse for å dekryptere tastetrykk via aktive avlyttingsmetoder. Baidus IME for Windows inneholdt en lignende sårbarhet, som Citizen Lab skapte en fungerende utnyttelse for å dekryptere tastetrykkdata via både aktive og passive avlyttingsmetoder.
Forskerne fant andre krypterte relaterte personvern- og sikkerhetssvakheter i Baidus iOS- og Android-versjoner, men utviklet ikke utnyttelser for dem. iFlyteks app for Android hadde en sårbarhet som gjorde at en passiv avlytting kunne gjenopprette seg i klartekst-tastaturoverføringer på grunn av utilstrekkelig mobil kryptering.
På maskinvareleverandørsiden tilbød Samsungs hjemmelagde tastaturapp ingen kryptering i det hele tatt og sendte i stedet tastetrykkoverføringer i det klare. Samsung tilbyr også brukere muligheten til enten å bruke Tencents Sogou-app eller en app fra Baidu på enhetene deres. Av de to appene identifiserte Citizen Lab Baidus tastaturapp som sårbar for angrep.
Forskerne klarte ikke å identifisere noe problem med Vivos internt utviklede Pinyin-tastaturapp, men hadde en fungerende utnyttelse for en sårbarhet de oppdaget i en Tencent-app som også er tilgjengelig på Vivos enheter.
Tredjeparts Pinyin-appene (fra Baidu, Tencent og iFlytek) som er tilgjengelige med enheter fra de andre produsentene av mobilenheter, hadde også sårbarheter som kunne utnyttes.
Dette er ikke uvanlige problemer, viser det seg. I fjor hadde Citizen Labs utført en egen undersøkelse i Tencents Sogou – brukt av rundt 450 millioner mennesker i Kina – og funnet sårbarheter som eksponerte tastetrykk for avlyttingsangrep.
"Ved å kombinere sårbarhetene oppdaget i denne og vår forrige rapport som analyserer Sogous tastaturapper, anslår vi at opptil én milliard brukere er berørt av disse sårbarhetene," sa Citizen Lab.
Sårbarhetene kunne muliggjøre masseovervåking av kinesiske mobilbrukere – inkludert etterretningstjenester for signaler som tilhører de såkalte Five Eyes-nasjonene – USA, Storbritannia, Canada, Australia og New Zealand – sa Citizen Lab; Sårbarhetene i tastaturappene som Citizen Lab oppdaget i sin nye forskning ligner veldig på sårbarhetene i den Kina-utviklede UC-nettleseren som etterretningsbyråer fra disse landene utnyttet til overvåkingsformål, bemerket rapporten.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/endpoint-security/most-chinese-keyboard-apps-vulnerable-to-eavesdropping
