Kusur, pinyin yazı sistemini kullanarak Çince karakterleri girmek için kullanılan klavye uygulamalarında bulundu. Araştırmacılar dokuz satıcının (Baidu, Honor, Huawei, iFlytek, OPPO, Samsung, Tencent, Vivo ve Xiaomi) uygulamalarını analiz etti. İncelenen cihazlar Çin’de satıldı.
Samsung Klavyenin herhangi bir türde şifreleme yapmadığı ve diğerlerinin çoğunun asimetrik şifreleme kullanmadığı tespit edildi.
Kullanıcıların Çince karakterleri hızlı ve kolay bir şekilde yazmasına olanak tanıyan klavyeler oluşturmak zorlu bir iş olduğundan, araştırmacıların analiz ettiği uygulamalar da dahil olmak üzere bu uygulamaların çoğu bulut tabanlı tahmin sunuyor. Bu özelliğin dahil edilmesi, yazılanların başka bir yerdeki sunuculara gönderilmesi anlamına gelir.
Citizen Lab’in analiz ettiği tüm pinyin klavye uygulamalarından, Huawei’ninki dışındaki tüm uygulamalarda, kullanıcının ne yazdığını ortaya çıkarmak için kullanılabilecek güvenlik açıkları olduğu tespit edildi. Bu kusur aslında bulut tabanlı klavyeleri keylogger’lara dönüştürüyor.
Güvenlik açıklarından pasif bir ağ dinleyicisi tarafından iletişim kanalına herhangi bir müdahale olmaksızın yararlanılabilir, bu da bunların tespit edilmesini zorlaştırır.
Birinin cihazında yazdıklarını okumanıza olanak tanıyan buna benzer kusurlar, devlet istihbarat teşkilatları da dahil olmak üzere çeşitli aktörlerin ilgisini çekebilir. Araştırmacılar, güvenlik açıklarını ilk keşfedenlerin kendileri olmayabileceğinden ve bunların gözetleme amacıyla kullanılmış olabileceğinden korkuyorlar.
Araştırmacılar, bir milyara kadar kullanıcının bu ve benzeri bir güvenlik açığından etkilenmiş olabileceğine inanıyor. Güvenlik açıkları tüm satıcılara bildirildi ve çoğu bunları düzeltti.
Raporda, ne Apple’ın ne de Google’ın klavye uygulamalarının tuş vuruşlarını bulut sunucularına aktarmadığı belirtiliyor.
Telefonunuzda yazdıklarınızı kimsenin bulmasını istemiyorsanız, cihazdaki klavyeleri kullanmanız ve uygulamalarınızı ve işletim sistemlerinizi güncel tutmanız önerilir.