Уязвимости в популярных клавиатурах для смартфонов позволяют видеть, что набирает пользователь.
Специалисты Citizen Lab выявили уязвимости в популярных клавиатурных приложениях, которые могут использоваться для регистраций нажатий клавиш китайских пользователей по всему миру. Проблемы с безопасностью присутствуют практически во всех приложениях, включая те, что предустановлены на Android-устройствах в Китае.
Исследователи проанализировали версии клавиатурных приложений для Android, iOS и Windows от Tencent, Baidu, iFlytek, Sogou, Samsung, Huawei, Xiaomi, OPPO, Vivo и Honor. Первые четыре — Tencent, Baidu, iFlytek и Sogou — отдельные разработчики ПО для клавиатур, а остальные — Samsung, Huawei, Xiaomi, OPPO, Vivo и Honor — производители мобильных устройств, которые либо разработали собственные клавиатуры, либо предустановили одно или несколько приложений других трёх разработчиков на своих устройствах.
Клавиатурные приложения Baidu, Tencent, iFlytek и Sogou используются для более удобного ввода китайских символов, но многие из них не защищают передаваемые данные должным образом. Особенно тревожным является отсутствие защиты TLS (Transport Layer Security), стандарта шифрования, который мог бы предотвратить перехват данных.
Сводная таблица уязвимостей, обнаруженных в популярных клавиатурных приложениях и клавиатурах, предустановленных на популярных смартфонах
Открытие уязвимостей стало возможным после того, как исследователи обнаружили, что приложение Sogou отправляло данные без использования TLS, что позволяло третьим сторонам перехватывать и расшифровывать вводимую информацию. Несмотря на то, что Sogou устранило проблему после публикации, некоторые предустановленные клавиатуры все еще не обновлены.
Легкость эксплуатации обнаруженных уязвимостей и возможные последствия, включая утечку паролей и конфиденциальных данных, подчеркивают серьезность проблемы. Специалисты утверждают, что для эксплуатации недостатков не требуются значительные вычислительные мощности, достаточно базовых знаний для перехвата данных в общественных Wi-Fi сетях.
Проблема усугубляется тем, что многие из клавиатурных приложений были разработаны в 2000-х годах, до широкого внедрения TLS в разработке программного обеспечения. После того как вопросы безопасности стали известны, большинство уязвимостей были устранены, однако некоторые компании до сих пор не отреагировали на сообщения о проблемах, и уязвимости все еще существуют.
Дополнительные усилия исследователей, включая изменение заголовков и текста электронных писем на китайский язык, привели к тому, что компания iFlytek ответила на письма и устранила проблемы. Но вопросы безопасности данных продолжают оставаться актуальными для миллионов пользователей, подчеркивающих необходимость более тесного сотрудничества и обмена информацией между исследователями разных стран.
Одно найти легче, чем другое. Спойлер: это не темная материя