Luki wirtualnych klawiatur. Dane ponad miliarda Chińczyków zagrożone

Tencent

Wirtualne klawiatury są nieodłącznym elementem smartfonów i nie tylko. Na rynku istnieje masa różnych aplikacji umożliwiających pisanie w języku chińskim na urządzeniach z Androidem.

Jak podaje Citizen Lab w ośmiu z dziewięciu aplikacji pochodzących od Baidu, Honor, iFlytek, OPPO, Samsung, Tencent, Vivo i Xiaomi wykryto wiele braków w zakresie bezpieczeństwa. Jednym wyjątkiem była aplikacja od Huawei.

Wykryte podatności umożliwiają na “całkowite ujawnienie treści naciśnięć klawiszy użytkownika podczas przesyłania” jak twierdzą badacze Jeffrey Knockel, Mona Wang i Zoë Reichert. Szacuje się, że te luki dotykają blisko miliarda użytkowników, przy czym ogromną część udziału w rynku stanowią rozwiązania firm Sogou, Baidu i iFlytek.

Testy zostały przeprowadzone w interdyscyplinarnym laboratorium z siedzibą na Uniwersytecie w Toronto, które w sierpniu zeszłego roku zidentyfikowało błędy kryptograficzne w metodzie wprowadzania firmy Sogou.

Dalsza część artykułu pod materiałem wideo

Wybraliśmy Produkt Roku 2023

Poniżej szczegółowe opisy problemów w wykrytych aplikacjach:

• Tencent QQ Pinyin, który jest podatny na atak Oracle z dopełnieniem CBC, który mógłby umożliwić odzyskanie zwykłego tekstu
• Baidu IME, który umożliwia podsłuchiwaczom sieciowym odszyfrowywanie transmisji sieciowych i wyodrębnianie wpisanego tekstu w systemie Windows z powodu błędu w protokole szyfrowania BAIDUv3.1
• iFlytek IME, którego aplikacja na Androida umożliwia podsłuchiwaczom sieciowym odzyskanie zwykłego tekstu z niewystarczająco zaszyfrowanych transmisji sieciowych
• Klawiatura Samsung na Androida, która przesyła dane o naciśnięciach klawiszy za pośrednictwem zwykłego, niezaszyfrowanego protokołu HTTP
• Xiaomi, który jest fabrycznie zainstalowany z aplikacjami na klawiaturę firm Baidu, iFlytek i Sogou (a zatem jest podatny na te same wyżej wymienione wady)
• OPPO, które jest fabrycznie zainstalowane z aplikacjami na klawiaturę Baidu i Sogou (a zatem jest podatne na te same wyżej wymienione wady)
• Vivo, który jest fabrycznie zainstalowany z Sogou IME (i dlatego jest podatny na tę samą wspomnianą wadę)
• Honor, który jest fabrycznie zainstalowany z edytorem Baidu IME (i dlatego jest podatny na tę samą wadę, o której mowa powyżej)

Zobacz także:

Pomyślne wykorzystanie tych luk może pozwolić przeciwnikom na całkowicie pasywne odszyfrowanie naciśnięć klawiszy chińskich użytkowników smartfonów, bez potrzeby dodatkowego wysyłania danych. Po ujawnieniu podatności wszyscy twórcy aplikacji za wyjątkiem Honor i Tencent (QQ Pinyin) wprowadzili poprawki 1 kwietnia 2024 r. Zaleca się aktualizację wykorzystywanych aplikacji oraz systemu Android do najnowszych wersji.

Badacze wzywają też twórców aplikacji do korzystania z dobrze znanych i przetestowanych protokołów szyfrowania zamiast opracowywania własnych wersji mogących mieć problemy z bezpieczeństwem. Operatorów sklepów z aplikacjami wezwano również, aby nie blokowali geograficznie aktualizacji zabezpieczeń i umożliwiali programistom poświadczanie, że wszystkie dane są przesyłane w sposób szyfrowany.

Ponadto podnoszą oni teorię, że chińskie dążenia do opracowywania własnych protokołów szyfrowania mogą być wynikiem ich niechęci do korzystania z zachodnich standardów kryptograficznych ze względu na obawy dotyczące obecności backdorów.

Zobacz także: