Милиарди пръсти под капака: разработчиците на клавиатури шпионират потребителите на Android от целия свят
Уязвимостите в клавиатурите на известните смарт телефони дават опция да се види какво написа потребителят.
Експерти от организацията Citizen Lab са разкрили уязвимости в известните клавиатурни приложения. Те могат да се употребяват за вписване на натисканията на клавишите от китайските консуматори от целия свят. Проблеми със сигурността има в съвсем всички приложения, в това число и в авансово конфигурираните на Android устройствата в Китай.
Изследователите са анализирали версии на Android, iOS и Windows на клавиатурните приложения от Tencent, Baidu, iFlytek, Sogou, Samsung, Huawei, Xiaomi, OPPO, Vivo и Honor. Първите четири – Tencent, Baidu, iFlytek и Sogou – са самостоятелни разработчици на програмен продукт за клавиатури. Докато останалите – Samsung, Huawei, Xiaomi, OPPO, Vivo и Honor – са производители на мобилни устройства. Те или са създали свои лични софтуерни клавиатури, или авансово са конфигурирали на устройствата си едно или повече от приложенията на другите трима разработчици.
Клавиатурните приложения на Baidu, Tencent, iFlytek и Sogou се употребяват, с цел да се улесни въвеждането на китайските писмени знаци, само че доста от тях не пазят съответно данните, които се предават. Особено тревожна е неналичието на TLS (Transport Layer Security) отбрана. Това е стандарт за криптиране, който би могъл да предотврати прихващането на данните.
Обобщена таблица на уязвимостите, открити в известните клавиатурни приложения и клавиатури, авансово конфигурирани на известните смарт телефони Уязвимостите бяха открити, откакто откривателите откриха, че приложението Sogou изпраща данни, без да употребява TLS. Това разрешава на трети страни да прихващат и декриптират входящите данни. Въпреки че Sogou в профил казуса след обявата, някои авансово конфигурирани клавиатури към момента не са обновени.
Лесното потребление на откритите уязвимости и вероятните последици, в това число приключване на пароли и чувствителни данни, акцентират сериозността на казуса. Експертите настояват, че потреблението на минусите не изисква забележителна изчислителна мощност. Достатъчни са единствено съществени знания за прихващането на данни от публичните Wi-Fi мрежи.
Проблемът се усложнява от обстоятелството, че доста от приложенията за засичане на натисканията на клавиши са създадени през 2000 година, Това е станало преди необятното въвеждане на TLS при създаването на програмен продукт. След като проблемите със сигурността станаха известни, множеството от уязвимостите бяха отстранени, само че някои компании към момента не са дали отговор на известията за проблеми. При тях уязвимостите към момента съществуват.
Допълнителните старания на откривателите, в това число смяната на заглавията и текста на имейлите на китайски език, са довели до това, че iFlytek е дала отговор на имейлите и е отстранила проблемите. Но проблемите със сигурността на данните не престават да са настоящи за милиони консуматори. Това акцентира нуждата от по-тясно съдействие и продан на информация сред откривателите в другите страни.
