Уязвимости безопасности, обнаруженные в облачных приложениях для клавиатуры pinyin, могут быть использованы для передачи нажатий клавиш пользователей злоумышленникам.
Выводы сделаны Citizen Lab, которая обнаружила слабые места в восьми из девяти приложений от таких поставщиков, как Baidu, Honor, iFlytek, OPPO, Samsung, Tencent, Vivo и Xiaomi. Единственный поставщик, у которого приложение для клавиатуры не имело каких-либо недостатков в безопасности, - это Huawei.
Уязвимости могут быть использованы для "полного раскрытия содержимого нажатий клавиш пользователями при передаче", - сказали исследователи Джеффри Нокель, Мона Ван и Зои Райхерт.
Раскрытие основано на предыдущих исследованиях междисциплинарной лаборатории, базирующейся в Университете Торонто, которые выявили криптографические недостатки в методе ввода Sogou от Tencent в августе прошлого года.
В совокупности, по оценкам, около миллиарда пользователей подвержены этому классу уязвимостей, при этом редакторы методов ввода (IME) от Sogou, Baidu и iFlytek занимают огромную долю рынка.
Ниже приводится краткое описание выявленных проблем -
Пользователям рекомендуется поддерживать свои приложения и операционные системы в актуальном состоянии и переключаться на клавиатурное приложение, которое полностью работает на устройстве, чтобы смягчить эти проблемы конфиденциальности.
Другие рекомендации призывают разработчиков приложений использовать хорошо протестированные и стандартные протоколы шифрования вместо разработки доморощенных версий, которые могут иметь проблемы с безопасностью. Операторам App Store также было рекомендовано не блокировать обновления системы безопасности геоблоком и разрешить разработчикам подтверждать, что все данные передаются с использованием шифрования.
Citizen Lab предположила, что, возможно, китайские разработчики приложений менее склонны использовать "западные" криптографические стандарты из-за опасений, что они могут содержать собственные бэкдоры, что побуждает их разрабатывать собственные шифры.
"Учитывая масштабы этих уязвимостей, чувствительность того, что пользователи вводят на своих устройствах, легкость, с которой эти уязвимости могли быть обнаружены, и то, что Five Eyes ранее использовали аналогичные уязвимости в китайских приложениях для наблюдения, возможно, что нажатия клавиш такими пользователями также могли находиться под массовым наблюдением", - сказали исследователи.
Выводы сделаны Citizen Lab, которая обнаружила слабые места в восьми из девяти приложений от таких поставщиков, как Baidu, Honor, iFlytek, OPPO, Samsung, Tencent, Vivo и Xiaomi. Единственный поставщик, у которого приложение для клавиатуры не имело каких-либо недостатков в безопасности, - это Huawei.
Уязвимости могут быть использованы для "полного раскрытия содержимого нажатий клавиш пользователями при передаче", - сказали исследователи Джеффри Нокель, Мона Ван и Зои Райхерт.
Раскрытие основано на предыдущих исследованиях междисциплинарной лаборатории, базирующейся в Университете Торонто, которые выявили криптографические недостатки в методе ввода Sogou от Tencent в августе прошлого года.
В совокупности, по оценкам, около миллиарда пользователей подвержены этому классу уязвимостей, при этом редакторы методов ввода (IME) от Sogou, Baidu и iFlytek занимают огромную долю рынка.
Ниже приводится краткое описание выявленных проблем -
- Tencent QQ Pinyin уязвим для атаки Oracle с заполнением CBC, которая может позволить восстановить открытый текст
- Baidu IME, который позволяет сетевым перехватчикам расшифровывать сетевые передачи и извлекать набранный текст в Windows из-за ошибки в протоколе шифрования BAIDUv3.1
- iFlytek IME, приложение для Android которого позволяет сетевым перехватчикам восстанавливать открытый текст недостаточно зашифрованных сетевых передач
- Samsung Keyboard на Android, которая передает данные о нажатиях клавиш по простому незашифрованному HTTP
- Xiaomi, которая поставляется с предустановленными приложениями для клавиатуры от Baidu, iFlytek и Sogou (и, следовательно, подвержена тем же вышеупомянутым недостаткам)
- OPPO, которая поставляется с предустановленными приложениями для клавиатуры от Baidu и Sogou (и, следовательно, подвержена тем же вышеупомянутым недостаткам)
- Vivo, который поставляется с предустановленной версией Sogou IME (и, следовательно, подвержен тому же вышеупомянутому недостатку)
- Honor, который поставляется с предустановленным Baidu IME (и, следовательно, подвержен тому же вышеупомянутому недостатку)
Пользователям рекомендуется поддерживать свои приложения и операционные системы в актуальном состоянии и переключаться на клавиатурное приложение, которое полностью работает на устройстве, чтобы смягчить эти проблемы конфиденциальности.
Другие рекомендации призывают разработчиков приложений использовать хорошо протестированные и стандартные протоколы шифрования вместо разработки доморощенных версий, которые могут иметь проблемы с безопасностью. Операторам App Store также было рекомендовано не блокировать обновления системы безопасности геоблоком и разрешить разработчикам подтверждать, что все данные передаются с использованием шифрования.
Citizen Lab предположила, что, возможно, китайские разработчики приложений менее склонны использовать "западные" криптографические стандарты из-за опасений, что они могут содержать собственные бэкдоры, что побуждает их разрабатывать собственные шифры.
"Учитывая масштабы этих уязвимостей, чувствительность того, что пользователи вводят на своих устройствах, легкость, с которой эти уязвимости могли быть обнаружены, и то, что Five Eyes ранее использовали аналогичные уязвимости в китайских приложениях для наблюдения, возможно, что нажатия клавиш такими пользователями также могли находиться под массовым наблюдением", - сказали исследователи.
