几乎所有允许用户在 Android、iOS 或其他移动设备中输入汉字的键盘应用程序都容易受到攻击,从而使攻击者能够捕获他们的全部击键。
多伦多大学公民实验室的一项新研究发现,这包括登录凭据、财务信息和消息等数据,否则这些数据将被端到端加密。
普遍存在的问题
如报名参加 根据一项研究,实验室的研究人员考虑了九家供应商向中国用户销售的基于云的拼音应用程序(将汉字翻译成罗马字母拼写的单词):百度、三星、华为、腾讯、小米、Vivo、OPPO、科大讯飞和荣耀。他们的调查显示,除了华为的应用程序之外,所有应用程序都将击键数据传输到云端,从而使被动窃听者能够轻松地以明文形式读取内容。公民实验室的研究人员多年来因揭露多项网络间谍活动而享有盛誉, 监视和其他威胁 针对移动用户和民间社会的研究人员表示,它们中的每一个都在如何处理用户击键到云的传输方面至少包含一个可利用的漏洞。
公民实验室研究人员 Jeffrey Knockel、Mona Wang 和 Zoe Reichert 在一份报告中总结了他们本周的发现,不应低估漏洞的范围:公民实验室的研究人员发现,中国大陆 76% 的键盘应用用户实际上使用拼音键盘输入汉字。
研究人员表示:“我们在本报告中涵盖的所有漏洞都可以完全被动地利用,而无需发送任何额外的网络流量。”他们指出,首先,这些漏洞很容易发现,并且不需要任何复杂的技术即可利用。 “因此,我们可能想知道,这些漏洞是否正在被大规模利用?”
公民实验室检查的每个易受攻击的拼音键盘应用程序都具有本地设备上组件和基于云的预测服务,用于处理长串音节和特别复杂的字符。在他们研究的九个应用程序中,三个来自移动软件开发商——腾讯、百度和科大讯飞。其余五个应用程序是三星、小米、OPPO、Vivo 和 Honor(所有移动设备制造商)自行开发的或由第三方开发商集成到其设备中的应用程序。
可通过主动和被动方法利用
每个应用程序的利用方法都不同。例如,腾讯的 Android 和 Windows 版 QQ 拼音应用程序存在一个漏洞,研究人员可以通过该漏洞创建一个有效的漏洞,通过主动窃听方法解密击键。百度的Windows输入法也存在类似的漏洞,公民实验室为此创建了一个有效的漏洞,可以通过主动和被动窃听方法解密击键数据。
研究人员在百度的iOS和Android版本中发现了其他与加密相关的隐私和安全漏洞,但没有针对它们开发漏洞。科大讯飞的 Android 应用程序存在一个漏洞,该漏洞允许被动窃听者在明文键盘传输中恢复,因为没有足够的信息 移动加密.
在硬件供应商方面,三星自主开发的键盘应用程序根本不提供加密,而是以明文形式发送击键传输。三星还为用户提供了在其设备上使用腾讯搜狗应用程序或百度应用程序的选项。在这两个应用程序中,公民实验室发现百度的键盘应用程序容易受到攻击。
研究人员无法识别 Vivo 内部开发的拼音键盘应用程序的任何问题,但他们在腾讯应用程序中发现的漏洞存在有效利用,该应用程序也可在 Vivo 设备上使用。
其他移动设备制造商的设备上提供的第三方拼音应用程序(来自百度、腾讯和科大讯飞)也都存在可利用的漏洞。
事实证明,这些问题并不罕见。去年,公民实验室对腾讯的搜狗(中国约有 450 亿人使用)进行了单独调查,发现了导致击键遭受窃听攻击的漏洞。
“结合本报告中发现的漏洞以及我们之前分析搜狗键盘应用程序的报告,我们估计多达 10 亿用户受到这些漏洞的影响,”公民实验室表示。
这些漏洞可能 启用大规模监视 公民实验室表示,中国移动设备用户的数量——包括通过属于所谓“五眼”国家——美国、英国、加拿大、澳大利亚和新西兰——的信号情报服务;报告指出,公民实验室在其新研究中发现的键盘应用程序中的漏洞与中国开发的 UC 浏览器中的漏洞非常相似,这些国家的情报机构利用这些漏洞进行监视。
