Исследователи утверждают, что изъяны в китайских приложениях для клавиатуры делают 750 миллионов пользователей уязвимыми для взлома

Согласно исследованию Citizen Lab в Университете Торонто, многие китайские приложения для клавиатуры, в том числе от крупных производителей телефонов, могут передавать информацию о нажатиях клавиш шпионам, потенциально подвергая риску три четверти миллиарда человек.

Как лаборатория находки [PDF] Объясните: «Невозможно уместить десятки тысяч китайских иероглифов на одной клавиатуре».

Поэтому компьютеры, предназначенные для пользователей, говорящих на китайском языке, используют программное обеспечение «Редактор метода ввода» (IME), наиболее распространенное из которых использует пиньинь, что позволяет представлять звуки мандаринского языка с использованием латинского алфавита. Смартфоны, предназначенные для пользователей, говорящих на китайском языке, часто включают в себя приложения для клавиатуры пиньинь, которые также доступны в магазинах приложений.

Но сопоставить латинский алфавит с китайскими иероглифами непросто, поэтому некоторые приложения пиньинь загружают ваши нажатия клавиш в облако для обработки.

По данным Citizen Lab, приложение Baidu Pinyin использует слабое шифрование, поэтому нажатия клавиш, выполняемые пользователями, уязвимы для перехвата перехватчиком, который, следовательно, может прочитать все вводимые данные. Приложения от Samsung, Xiaomi, OPPO, Honor и iFlytek используют криптовалюты, которые уже были скомпрометированы с помощью эксплойта, позволяющего активным и пассивным перехватчикам перехватывать нажатия клавиш. Приложение Baidu Pinyin для Windows сталкивается с той же проблемой.

В приложениях Tencent, Xiaomi, OPPO и Vivo возникают проблемы, которые позволяют активному перехватчику перехватывать нажатия клавиш.

Приложения IME разработаны для разных устройств, и некоторые версии приложений IME содержат уязвимости, которые существуют только на определенных устройствах.

Citizen Lab сообщила о своих выводах соответствующим компаниям, и результаты оказались неоднозначными.

«Все компании, кроме Baidu, Vivo и Xiaomi, отреагировали на нашу информацию», — говорится в отчете лаборатории. Baidu устранила наиболее серьезные проблемы, обнаруженные исследователями, но не все из них.

Tencent пообещала исправить свои продукты к 1 апреля, но, похоже, на момент публикации она этого не сделала — возможно, потому, что считает, что срок службы одного из небезопасных приложений подошел к концу.

Даже если приложения будут обновлены для устранения недостатков, обнаруженных Citizen Lab, организация обеспокоена тем, что трудности с обновлением программного обеспечения означают, что проблемы сохранятся. Например, на устройствах Honor нет возможности обновлять приложения для клавиатуры. Для обновления приложений Samsung требуется создание учетной записи. Исследователи лаборатории также обнаружили, что некоторые обновления приложений заблокированы по географическому признаку.

«Масштабы этих серьезных уязвимостей нельзя недооценивать», — делается вывод в отчете, поскольку приложения для клавиатуры, изученные Citizen Lab, занимают более 95% рынка в Китае, а производители телефонов, предустановившие уязвимое программное обеспечение, в совокупности владеют половиной рынка.

По оценкам Citizen Lab, около 780 миллионов человек подвергались риску слежки со смартфонов.

И ситуация становится еще хуже: в прошлом году лаборатория обнаружила аналогичные проблемы в популярном приложении ввода под названием Sogou, что привело к «оценке, что около 1 миллиарда пользователей подвержены этому классу уязвимостей».

На этом этапе читатели могут прийти к выводу, что правительство Китая не против доступа к смартфонам своих граждан.

Citizen Lab предполагает, что эта гипотеза слаба – потому что Пекину не нужны бэкдоры, потому что он уже собирает данные о нажатиях клавиш, ему не нравится идея, что третьи лица делают то же самое, и он постоянно настаивает на улучшении безопасности программного обеспечения.

Лаборатория объясняет эти проблемы нежеланием использовать проверенные шифры, возможно, из-за опасений, что они будут скомпрометированы западными державами.

Исследование предполагает несколько действий, которые можно предпринять в экосистеме смартфонов — разработчиков, производителей и магазинов приложений — для создания реестра уязвимостей такого типа.

Однако на данный момент он содержит более практические советы: как можно скорее обновите свои приложения пиньинь. ®