Luki wirtualnych klawiatur. Dane ponad miliarda Chińczyków zagrożone
Tencent
Wirtualne klawiatury są nieodłącznym elementem smartfonów i nie tylko. Na rynku istnieje masa różnych aplikacji umożliwiających pisanie w języku chińskim na urządzeniach z Androidem.
Jak podaje Citizen Lab w ośmiu z dziewięciu aplikacji pochodzących od Baidu, Honor, iFlytek, OPPO, Samsung, Tencent, Vivo i Xiaomi wykryto wiele braków w zakresie bezpieczeństwa. Jednym wyjątkiem była aplikacja od Huawei.
Wykryte podatności umożliwiają na “całkowite ujawnienie treści naciśnięć klawiszy użytkownika podczas przesyłania” jak twierdzą badacze Jeffrey Knockel, Mona Wang i Zoë Reichert. Szacuje się, że te luki dotykają blisko miliarda użytkowników, przy czym ogromną część udziału w rynku stanowią rozwiązania firm Sogou, Baidu i iFlytek.
Testy zostały przeprowadzone w interdyscyplinarnym laboratorium z siedzibą na Uniwersytecie w Toronto, które w sierpniu zeszłego roku zidentyfikowało błędy kryptograficzne w metodzie wprowadzania firmy Sogou.
Dalsza część artykułu pod materiałem wideo
Wybraliśmy Produkt Roku 2023
Poniżej szczegółowe opisy problemów w wykrytych aplikacjach:
- Tencent QQ Pinyin, który jest podatny na atak Oracle z dopełnieniem CBC, który mógłby umożliwić odzyskanie zwykłego tekstu
- Baidu IME, który umożliwia podsłuchiwaczom sieciowym odszyfrowywanie transmisji sieciowych i wyodrębnianie wpisanego tekstu w systemie Windows z powodu błędu w protokole szyfrowania BAIDUv3.1
- iFlytek IME, którego aplikacja na Androida umożliwia podsłuchiwaczom sieciowym odzyskanie zwykłego tekstu z niewystarczająco zaszyfrowanych transmisji sieciowych
- Klawiatura Samsung na Androida, która przesyła dane o naciśnięciach klawiszy za pośrednictwem zwykłego, niezaszyfrowanego protokołu HTTP
- Xiaomi, który jest fabrycznie zainstalowany z aplikacjami na klawiaturę firm Baidu, iFlytek i Sogou (a zatem jest podatny na te same wyżej wymienione wady)
- OPPO, które jest fabrycznie zainstalowane z aplikacjami na klawiaturę Baidu i Sogou (a zatem jest podatne na te same wyżej wymienione wady)
- Vivo, który jest fabrycznie zainstalowany z Sogou IME (i dlatego jest podatny na tę samą wspomnianą wadę)
- Honor, który jest fabrycznie zainstalowany z edytorem Baidu IME (i dlatego jest podatny na tę samą wadę, o której mowa powyżej)
Zobacz także:
Pomyślne wykorzystanie tych luk może pozwolić przeciwnikom na całkowicie pasywne odszyfrowanie naciśnięć klawiszy chińskich użytkowników smartfonów, bez potrzeby dodatkowego wysyłania danych. Po ujawnieniu podatności wszyscy twórcy aplikacji za wyjątkiem Honor i Tencent (QQ Pinyin) wprowadzili poprawki 1 kwietnia 2024 r. Zaleca się aktualizację wykorzystywanych aplikacji oraz systemu Android do najnowszych wersji.
Badacze wzywają też twórców aplikacji do korzystania z dobrze znanych i przetestowanych protokołów szyfrowania zamiast opracowywania własnych wersji mogących mieć problemy z bezpieczeństwem. Operatorów sklepów z aplikacjami wezwano również, aby nie blokowali geograficznie aktualizacji zabezpieczeń i umożliwiali programistom poświadczanie, że wszystkie dane są przesyłane w sposób szyfrowany.
Ponadto podnoszą oni teorię, że chińskie dążenia do opracowywania własnych protokołów szyfrowania mogą być wynikiem ich niechęci do korzystania z zachodnich standardów kryptograficznych ze względu na obawy dotyczące obecności backdorów.
Zobacz także: