)
Błędy umożliwiają złośliwym aktorom naruszanie zabezpieczeń urządzeń i kont użytkowników poprzez przechwytywanie danych wpisanych przez użytkownika. Źródło obrazu: Pexels
Niedawne badanie Citizen Lab ujawniło poważne luki w zabezpieczeniach popularnych chińskich aplikacji klawiaturowych, które mogą potencjalnie dotknąć miliardy użytkowników. Błędy wykryte w opartych na chmurze aplikacjach klawiatury Pinyin umożliwiają złośliwym podmiotom złamanie zabezpieczeń urządzeń i kont użytkowników poprzez przechwytywanie danych użytkowników przesyłanych między urządzeniami a chmurą.
Badanie skupiało się na analizie preinstalowanych aplikacji od głównych dostawców, w tym Baidu, Honor, Huawei, iFlyTek, OPPO, Samsung, Tencent, Vivo i Xiaomi. Szokujące jest to, że ośmiu na dziewięciu dostawców ma krytyczne luki w zabezpieczeniach, przez co dane użytkowników są podatne na przechwycenie przez bierne podsłuchiwanie w sieci.
Tylko Huawei wyszedł bez szwanku z audytu bezpieczeństwa Citizen Lab.
Konsekwencje tych badań są głębokie: takie błędy mogą mieć wpływ na setki milionów użytkowników, szczególnie biorąc pod uwagę powszechne przyjęcie smartfonów Honor, OPPO i Xiaomi w Chinach i ich sąsiadach.
Charakter tych błędów umożliwiał atakującym przechwytywanie naciśnięć klawiszy użytkowników podczas ruchu. To z kolei doprowadziło do ujawnienia poufnych informacji, od wiadomości tekstowych po szczegóły finansowe.
Sedno problemu leży w sposobie przesyłania zapisanych danych przez Internet. W przeciwieństwie do alfabetu łacińskiego klawiatury pinyin używane przez większość użytkowników z Chin kontynentalnych wysyłają dane do zdalnych serwerów w celu wykorzystania funkcji przewidywania tekstu. To poleganie na funkcjach opartych na chmurze sprawia, że aplikacje są podatne na monitorowanie, skutecznie działając jako keyloggery.
Podczas gdy Citizen Lab natychmiast powiadomiło wszystkich dostawców, których to dotyczyło, o lukach, jedynie firmie Honor nie udało się rozwiązać problemów w wyznaczonym terminie.
Od tego czasu większość dostawców załatała błędy, co skłoniło badaczy do doradzania użytkownikom aktualizacji aplikacji i systemów operacyjnych w celu zwiększenia bezpieczeństwa.
Ponadto, aby zapobiec przyszłym zagrożeniom dla prywatności i wrażliwych danych, użytkowników zachęca się do rezygnacji z aplikacji klawiaturowych opartych na chmurze na rzecz tych, które działają całkowicie na urządzeniu.
Odkrycia te podkreślają kluczowe znaczenie silnych środków bezpieczeństwa w aplikacjach mobilnych, zwłaszcza w przypadku powszechnie używanych aplikacji klawiaturowych, które obsługują ogromne ilości danych osobowych.
W miarę ewolucji zagrożeń cybernetycznych należy podjąć proaktywne kroki w celu ochrony prywatności użytkowników i ochrony przed potencjalnym wykorzystaniem przez złośliwe podmioty.
(Przy udziale agencji)
Znajdź nas na YouTube
„Zła entuzjasta podróży. Irytująco skromny ćpun internetu. Nieprzepraszający alkoholiczek”.
