Kitajske aplikacije razkrivajo naše tipkanje

Raziskovalci so odkrili večje varnostne pomanjkljivosti v priljubljenih kitajskih programskih tipkovnicah za operacijski sistem Android.

Raziskovalci laboratorija Citizen Lab so odkrili tehnične težave v osmih od devetih pregledanih aplikacijah proizvajalcev, kot so kot so Baidu, Honor, iFlytek, OPPO, Tencent, Vivo in Xiaomi. Vse programske tipkovnice so imele večje varnostne pomanjkljivosti, ki bi lahko razkrile zasebno tipkanje uporabnikov. Edini proizvajalec z varnostno brezhibno tipkovnico na testu je bil Huawei. Prizadeta bi lahko bila približno milijarda uporabnikov, katerih vsebina njihovega tipkanja je zaradi problematičnih ranljivosti nezaščitena. 

Pod drobnogled so med drugim vzeli programske tipkovnice Tencent QQ Pinyin, ki je dovzetna za napade ugibanja manjkajoče vsebine (CBC padding oracle), Baidu IME, ki omogoča prisluškovalcem omrežij, da dešifrirajo mrežne prenose in izluščijo tipkano besedilo ter iFlytek IME in Sogou IME, pri katerih Android aplikacija omogoča prisluškovalcem omrežij, da povrnejo čistopis neustrezno šifriranih mrežnih prenosov. Kitajski proizvajalci omenjene tipkovnice največkrat prilagajo svojim telefonom. Tako ima Xiaomi privzeto nameščene aplikacije Baidu, iFlytek in Sogou, OPPO, Baidu in Sogou, Vivo pa zgolj Sogou IME.

Raziskovalci uporabnikom svetujejo, da redno posodabljajo aplikacije in operacijski sistem telefona ter preidejo na alternativne programske tipkovnice.