Китайские клавиатурные приложения Honor, Oppo, Samsung, Vivo и Xiaomi оказались уязвимы перед слежкой

[Ippolitovich]

Пользователям, печатающим на китайском языке с помощью облачных приложений Baidu, Honor, iFlytek, Oppo, Samsung, Tencent, Vivo и Xiaomi, следует немедленно обновить своё программное обеспечение. Исследователи обнаружили серьёзные недостатки шифрования в ПО ввода по системе пиньинь, которые могут скомпрометировать вводимые данные. Хотя сведений об использовании уязвимости пока не обнародовано, проблема потенциально может затронуть до миллиарда пользователей. Китайское письмо включает в себя тысячи уникальных символов, которые невозможно разместить на клавиатуре, поэтому для набора текста используются альтернативные методы ввода (IME). Во всех уязвимых облачных инструментах использовалась система пиньинь (буквально — «фонетическое письмо»), в которой пользователи используют латиницу для ввода фонетического произношения, а затем выбирают соответствующие символы из набора. Поставщики операционных систем и сторонние разработчики на протяжении десятилетий предоставляют китайским пользователям локальные альтернативные методы ввода, но облачные сервисы опережают локальные приложения по точности определения символов.

 

 

Использование любого облачного приложения для набора текста повышает риск отслеживания, поэтому разработчики обеспечивают конфиденциальность с помощью шифрования. Исследователи из Университета Торонто проверили безопасность приложений девяти компаний: Baidu, Honor, Huawei, iFlytek, OPPO, Samsung, Tencent, Vivo и Xiaomi, и в процессе эксперимента успешно считывали нажатия клавиш всех этих инструментов, кроме приложения Huawei. Исследователи не обнаружили недостатков в приложениях для iOS, поскольку Apple автоматически помещает в «песочницу» клавиатурные приложения, а для доступа и передачи данных требует явного разрешения пользователя. Аналогичные инструменты для Android и Windows признаны гораздо менее безопасными. Пользователи Android могут запретить клавиатурному приложению подключаться к интернету, но большинство пользователей просто не задумываются о потенциальных рисках, да и найти соответствующие элементы управления в настройках не так-то просто.

 

 

Исследователи поставили всех разработчиков в известность о найденной уязвимости, и большинство из них уже выпустило обновления для устранения проблем, но недостатки шифрования пока сохраняются в приложениях Baidu, клавиатуре Honor и сервисе Tencent QQ Pinyin. Исследователи перечислили десятки похожих приложений, которые они не тестировали, предположив, что в большинстве приложений могут обнаружится аналогичные уязвимости. Исследователи выразили тревогу, напомнив предыдущие эпизоды правительственной слежки. Например, Five Eyes — альянс по обмену разведданными между США, Великобританией, Канадой, Австралией и Новой Зеландией — ранее использовал аналогичные уязвимости в китайских приложениях, чтобы шпионить за пользователями.