Luki wirtualnych klawiatur. Dane ponad miliarda Chińczyków zagrożone

Wirtualne klawiatury są nieodłącznym elementem smartfonów i nie tylko. Na rynku istnieje masa różnych aplikacji umożliwiających pisanie w języku chińskim na urządzeniach z Androidem.

Jak podaje Citizen Lab w ośmiu z dziewięciu aplikacji pochodzących od Baidu, Honor, iFlytek, OPPO, Samsung, Tencent, Vivo i Xiaomi wykryto wiele braków w zakresie bezpieczeństwa. Jednym wyjątkiem była aplikacja od Huawei.

Wykryte podatności umożliwiają na "całkowite ujawnienie treści naciśnięć klawiszy użytkownika podczas przesyłania" jak twierdzą badacze Jeffrey Knockel, Mona Wang i Zoë Reichert. Szacuje się, że te luki dotykają blisko miliarda użytkowników, przy czym ogromną część udziału w rynku stanowią rozwiązania firm Sogou, Baidu i iFlytek.

Testy zostały przeprowadzone w interdyscyplinarnym laboratorium z siedzibą na Uniwersytecie w Toronto, które w sierpniu zeszłego roku zidentyfikowało błędy kryptograficzne w metodzie wprowadzania firmy Sogou.

Dalsza część artykułu pod materiałem wideo

Poniżej szczegółowe opisy problemów w wykrytych aplikacjach:

• Tencent QQ Pinyin, który jest podatny na atak Oracle z dopełnieniem CBC, który mógłby umożliwić odzyskanie zwykłego tekstu
• Baidu IME, który umożliwia podsłuchiwaczom sieciowym odszyfrowywanie transmisji sieciowych i wyodrębnianie wpisanego tekstu w systemie Windows z powodu błędu w protokole szyfrowania BAIDUv3.1
• iFlytek IME, którego aplikacja na Androida umożliwia podsłuchiwaczom sieciowym odzyskanie zwykłego tekstu z niewystarczająco zaszyfrowanych transmisji sieciowych
• Klawiatura Samsung na Androida, która przesyła dane o naciśnięciach klawiszy za pośrednictwem zwykłego, niezaszyfrowanego protokołu HTTP
• Xiaomi, który jest fabrycznie zainstalowany z aplikacjami na klawiaturę firm Baidu, iFlytek i Sogou (a zatem jest podatny na te same wyżej wymienione wady)
• OPPO, które jest fabrycznie zainstalowane z aplikacjami na klawiaturę Baidu i Sogou (a zatem jest podatne na te same wyżej wymienione wady)
• Vivo, który jest fabrycznie zainstalowany z Sogou IME (i dlatego jest podatny na tę samą wspomnianą wadę)
• Honor, który jest fabrycznie zainstalowany z edytorem Baidu IME (i dlatego jest podatny na tę samą wadę, o której mowa powyżej)

Pomyślne wykorzystanie tych luk może pozwolić przeciwnikom na całkowicie pasywne odszyfrowanie naciśnięć klawiszy chińskich użytkowników smartfonów, bez potrzeby dodatkowego wysyłania danych. Po ujawnieniu podatności wszyscy twórcy aplikacji za wyjątkiem Honor i Tencent (QQ Pinyin) wprowadzili poprawki 1 kwietnia 2024 r. Zaleca się aktualizację wykorzystywanych aplikacji oraz systemu Android do najnowszych wersji.

Badacze wzywają też twórców aplikacji do korzystania z dobrze znanych i przetestowanych protokołów szyfrowania zamiast opracowywania własnych wersji mogących mieć problemy z bezpieczeństwem. Operatorów sklepów z aplikacjami wezwano również, aby nie blokowali geograficznie aktualizacji zabezpieczeń i umożliwiali programistom poświadczanie, że wszystkie dane są przesyłane w sposób szyfrowany.

Ponadto podnoszą oni teorię, że chińskie dążenia do opracowywania własnych protokołów szyfrowania mogą być wynikiem ich niechęci do korzystania z zachodnich standardów kryptograficznych ze względu na obawy dotyczące obecności backdorów.