Bulut tabanlı pinyin klavye uygulamalarında ortaya çıkan güvenlik açıkları, kullanıcıların tuş vuruşlarını hain aktörlere ifşa etmek için kullanılabilir.
Bulgular, Baidu, Honor, iFlytek, OPPO, Samsung, Tencent, Vivo ve Xiaomi gibi satıcıların dokuz uygulamasından sekizinde zayıf noktalar keşfeden Citizen Lab’den geliyor. Klavye uygulamasında herhangi bir güvenlik açığı bulunmayan tek satıcı Huawei’ninkidir.
Araştırmacılar Jeffrey Knockel, Mona Wang ve Zoë Reichert, güvenlik açıklarından “kullanıcıların geçiş sırasındaki tuş vuruşlarının içeriğini tamamen ortaya çıkarmak” için yararlanılabileceğini söylüyor söz konusu.
Açıklama, Toronto Üniversitesi merkezli disiplinler arası laboratuvarın geçen Ağustos ayında Tencent’in Sogou Giriş Yöntemi’ndeki kriptografik kusurları tespit eden önceki araştırmalarına dayanıyor.
Toplu olarak, bir milyara yakın kullanıcının bu güvenlik açıklarından etkilendiği tahmin ediliyor; Sogou, Baidu ve iFlytek’in Giriş Yöntemi Düzenleyicileri (IME’ler) pazar payının büyük bir kısmını oluşturuyor.
Belirlenen sorunların özeti aşağıdaki gibidir:
- Düz metni kurtarmayı mümkün kılabilecek bir CBC dolgu oracle saldırısına karşı savunmasız olan Tencent QQ Pinyin
- BAIDUv3.1 şifreleme protokolündeki bir hata nedeniyle ağ dinleyicilerinin ağ iletimlerinin şifresini çözmesine ve yazılan metni Windows’ta çıkarmasına olanak tanıyan Baidu IME
- Android uygulaması ağ dinleyicilerinin yeterince şifrelenmemiş ağ iletimlerinin düz metnini kurtarmasına olanak tanıyan iFlytek IME
- Tuş vuruşu verilerini düz, şifrelenmemiş HTTP yoluyla ileten Android’deki Samsung Klavye
- Baidu, iFlytek ve Sogou’nun klavye uygulamaları önceden yüklenmiş olarak gelen Xiaomi (ve dolayısıyla yukarıda belirtilen kusurlara karşı hassastır)
- Baidu ve Sogou’nun klavye uygulamaları önceden yüklenmiş olarak gelen OPPO (ve dolayısıyla yukarıda belirtilen kusurlara karşı hassastır)
- Sogou IME önceden yüklenmiş olarak gelen Vivo (ve dolayısıyla yukarıda belirtilen aynı kusura karşı hassastır)
- Baidu IME ile önceden yüklenmiş olarak gelen Honor (ve dolayısıyla yukarıda belirtilen aynı kusura karşı hassastır)
Bu güvenlik açıklarının başarılı bir şekilde kullanılması, saldırganların Çinli mobil kullanıcıların tuş vuruşlarının şifresini herhangi bir ek ağ trafiği göndermeden tamamen pasif bir şekilde çözmesine olanak tanıyabilir. Sorumlu açıklamanın ardından Honor ve Tencent (QQ Pinyin) dışındaki tüm klavye uygulaması geliştiricileri, 1 Nisan 2024 itibarıyla sorunları ele aldı.
Bu gizlilik sorunlarını azaltmak için kullanıcılara uygulamalarını ve işletim sistemlerini güncel tutmaları ve tamamen cihaz üzerinde çalışan bir klavye uygulamasına geçmeleri tavsiye ediliyor.
Diğer öneriler, uygulama geliştiricilerini, güvenlik sorunları yaratabilecek kendi kendine geliştirilmiş sürümler geliştirmek yerine, iyi test edilmiş ve standart şifreleme protokollerini kullanmaya çağırıyor. Uygulama mağazası operatörlerine ayrıca güvenlik güncellemelerini coğrafi olarak engellememeleri ve geliştiricilerin tüm verilerin şifrelemeyle aktarıldığını doğrulamalarına izin vermeleri istendi.
Citizen Lab, Çinli uygulama geliştiricilerin “Batılı” kriptografik standartları kullanma konusundaki endişeleri nedeniyle daha az eğilimli olmalarının mümkün olduğunu öne sürdü. arka kapılar içerir kendilerinin şirket içi şifreler geliştirmelerini teşvik ediyor.
“Bu güvenlik açıklarının kapsamı göz önüne alındığında, kullanıcıların cihazlarında yazdıklarının hassasiyeti, bu güvenlik açıklarının keşfedilme kolaylığı ve Beş Göz’ün daha önce tespit ettiği benzer güvenlik açıklarından yararlanıldı Araştırmacılar, Çin’deki gözetim uygulamalarında, bu tür kullanıcıların tuş vuruşlarının da kitlesel gözetim altında olması mümkün” dedi.