Майже всі додатки для клавіатури, які дозволяють користувачам вводити китайські ієрогліфи на своїх Android, iOS або інших мобільних пристроях, уразливі до атак, які дозволяють зловмиснику повністю захопити їхні натискання клавіш.
Сюди входять такі дані, як облікові дані для входу, фінансова інформація та повідомлення, які інакше були б наскрізно зашифровані, показало нове дослідження Citizen Lab університету Торонто.
Повсюдна проблема
Для вчитися, дослідники лабораторії розглянули хмарні програми піньїнь (які перетворюють китайські ієрогліфи в слова, написані латинськими літерами) від дев’яти постачальників, які продають користувачам у Китаї: Baidu, Samsung, Huawei, Tencent, Xiaomi, Vivo, OPPO, iFlytek і Honor. . Їхнє розслідування показало, що всі програми від Huawei, крім програми Huawei, передають дані про натискання клавіш у хмару таким чином, що дозволяє пасивному підслухувачу читати вміст у вигляді відкритого тексту та з невеликими труднощами. Дослідники Citizen Lab, які протягом багатьох років заслужили репутацію викриття численних кібершпигунств, стеження та інші загрози націлених на мобільних користувачів і громадянське суспільство, сказав, що кожен з них містить принаймні одну експлуатаційну вразливість у тому, як вони обробляють передачу натискань клавіш користувача в хмару.
Дослідники Citizen Lab Джеффрі Нокель, Мона Вонг і Зої Райхерт написали у звіті, підсумовуючи свої висновки цього тижня: «Дослідники з Citizen Lab виявили, що фактично 76% користувачів клавіатурних додатків у материковому Китаї використовуйте клавіатуру піньїнь для введення китайських символів.
«Усі вразливості, які ми розглянули в цьому звіті, можна використовувати цілком пасивно без надсилання додаткового мережевого трафіку», — сказали дослідники. Крім того, вони відзначили, що уразливості було легко виявити, і для використання вони не потребують жодних технологічних досконалостей. «Таким чином, ми можемо задатися питанням, чи масово використовуються ці вразливості?»
Кожен із вразливих додатків для клавіатури Pinyin, які перевірила Citizen Lab, мав як локальний компонент на пристрої, так і хмарну службу прогнозування для обробки довгих рядків складів і особливо складних символів. З дев’яти розглянутих додатків три були від розробників мобільного програмного забезпечення — Tencent, Baidu та iFlytek. Решта п’ять були програмами, які Samsung, Xiaomi, OPPO, Vivo та Honor — усі виробники мобільних пристроїв — або розробили самостійно, або інтегрували у свої пристрої від стороннього розробника.
Можна використовувати за допомогою активних і пасивних методів
Методи використання відрізняються для кожної програми. Додаток Tencent QQ Pinyin для Android і Windows, наприклад, мав уразливість, яка дозволила дослідникам створити робочий експлойт для дешифрування натискань клавіш за допомогою активних методів підслуховування. IME Baidu для Windows містив подібну вразливість, для якої Citizen Lab створила робочий експлойт для розшифровки даних про натискання клавіш за допомогою активних і пасивних методів підслуховування.
Дослідники знайшли інші недоліки конфіденційності та безпеки, пов’язані з шифруванням, у версіях Baidu для iOS і Android, але не розробили експлойти для них. Додаток iFlytek для Android мав уразливість, яка дозволяла пасивному підслухувачу відновлюватися під час передачі відкритого тексту з клавіатури через недостатню мобільне шифрування.
Що стосується постачальника апаратного забезпечення, домашня програма Samsung для клавіатури взагалі не пропонувала шифрування, а натомість надсилала передачу натискання клавіш у відкритому вигляді. Samsung також пропонує користувачам можливість використовувати на своїх пристроях програму Sogou від Tencent або програму від Baidu. З двох програм Citizen Lab визначила програму для клавіатури Baidu як вразливу до атак.
Дослідники не змогли виявити жодної проблеми з внутрішньо розробленою програмою для клавіатури Vivo Pinyin, але мали робочий експлойт для вразливості, яку вони виявили в програмі Tencent, яка також доступна на пристроях Vivo.
Сторонні програми Pinyin (від Baidu, Tencent і iFlytek), які доступні з пристроями інших виробників мобільних пристроїв, також мали вразливості.
Виявляється, це не рідкість. Минулого року Citizen Labs провели окреме розслідування в Sogou Tencent, яким користуються близько 450 мільйонів людей у Китаї, і виявили вразливості, які наражали натискання клавіш на атаки підслуховування.
«Поєднуючи вразливості, виявлені в цьому та нашому попередньому звіті про аналіз клавіатурних додатків Sogou, ми оцінюємо, що до одного мільярда користувачів постраждали від цих уразливостей», — заявили в Citizen Lab.
Вразливі місця можуть уможливити масове спостереження китайських користувачів мобільних пристроїв — у тому числі за допомогою служб розвідки сигналів, що належать до так званих країн «П’яти очей» — США, Великобританії, Канади, Австралії та Нової Зеландії, — повідомляє Citizen Lab; Уразливості в додатках для клавіатури, які виявила Citizen Lab у своєму новому дослідженні, дуже схожі на вразливості в браузері UC, розробленому в Китаї, який розвідувальні служби цих країн використовували для цілей стеження, зазначається у звіті.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/endpoint-security/most-chinese-keyboard-apps-vulnerable-to-eavesdropping
