Istraživači su otkrili kritične sigurnosne propuste u nekoliko široko korišćenih aplikacija za tastaturu , uključujući one velikih tehnoloških giganata Samsung, OPPO, Vivo i Xiaomi.
Ovi nedostaci mogu omogućiti mrežnim prisluškivačima da presretnu i dešifruju svaki pritisak na tipku korisnika, otkrivajući osjetljive lične i finansijske informacije.
Sveobuhvatna studija Citizen Lab-a fokusirala se na sigurnost aplikacija za pinyin tastaturu u cloud od devet različitih proizvođača.
Analiza je uključila popularne brendove kao što su Baidu, Honor, Huawei, iFlytek, OPPO, Samsung, Tencent, Vivo i Xiaomi.
Istraživači su pomno ispitali kako ove aplikacije prenose korisničke pritiske tipki i tražili sve ranjivosti koje bi se mogle iskoristiti.
Nalazi su bili alarmantni: osam od devet dobavljača imalo je aplikacije osjetljive na presretanje.
Keystrokes Capture
To znači da bi napadač potencijalno mogao uhvatiti sve što korisnik unese, uključujući lozinke, brojeve kreditnih kartica, privatne poruke i još mnogo toga, uz relativno minimalan napor.
Jedini dobavljač čija je aplikacija za tastaturu pronađena bez takvih ranjivosti bio je Huawei.
Prema The Citizen Lab, otkrivene ranjivosti mogle bi utjecati na do milijardu korisnika širom svijeta, s obzirom na popularnost pogođenih aplikacija za tastaturu.
| Vendor | Naziv aplikacije | Opis ranjivosti | Potencijalni uticaj | Utječe na korisničku bazu |
| Samsung | Samsung tastatura | Nešifrirani prijenos podataka | Ekspozicija svih pritisaka na tastere | Stotine miliona |
| OPPO | OPPO tastatura | Slabe metode šifriranja | Lako presretanje ukucanih podataka | Desetine miliona |
| Vivo | Vivo tastatura | Nema enkripcije u određenim scenarijima | Direktan pristup tipkama | Desetine miliona |
| Xiaomi | Xiaomi tastatura | Nedosljedna enkripcija | Periodično izlaganje pritiska na tastere | Stotine miliona |
| Baidu | Baidu tastatura | Nešifrirani prijenos podataka | Potpuni pristup upisanim informacijama | Stotine miliona |
| Honor | Honor tastatura | Slabe metode šifriranja | Potencijalno dešifriranje osjetljivih podataka | Desetine miliona |
| iFlytek | iFlytek tastatura | Nema enkripcije za određene tipove podataka | Izlaganje lozinki i privatnih poruka | Milioni |
| Tencent | Tencent tastatura | Neadekvatni sigurnosni protokoli | Presretljivi lični i finansijski podaci | Stotine miliona |
| Huawei | Huawei tastatura | Nisu pronađene ranjivosti | N / A | N / A |
Analiza aplikacija za pinyin tastaturu
U izvještaju je također istaknuto da ovo nije izolirano pitanje. Prethodne analize su pokazale slične ranjivosti u drugim kineskim aplikacijama, a bilo je i slučajeva kada su takve slabosti iskoristile obavještajne agencije, uključujući one iz saveza Five Eyes.
Lakoća s kojom se ove ranjivosti mogu iskoristiti čini to značajnom zabrinutošću, uglavnom zato što se aplikacije za tastaturu koriste za unos nekih od najosjetljivijih informacija na uređaju.
Ranjivosti prvenstveno uključuju neprikladan ili nesiguran prenos podataka o pritisku tipke na servere u cloud .
Ovaj prenos podataka, idealno šifriran, čini se ili loše implementiran ili potpuno nešifrovan u navedenim slučajevima, omogućavajući svakome s pravim alatima i pristupom mreži da lako presretne podatke.
U svjetlu ovih nalaza, Citizen Lab je pozvao sve pogođene kompanije da odmah riješe ove sigurnosne propuste.
Korisnicima uključenih aplikacija za tastaturu savjetuje se da ažuriraju svoje aplikacije čim zakrpe postanu dostupne. U međuvremenu, prelazak na alternativne aplikacije za tastaturu koje daju prioritet sigurnosti bi mogao biti mudar.
Izvještaj je već izazvao odgovore nekoliko uključenih kompanija. Samsung, OPPO, Vivo i Xiaomi su svi priznali problem i najavili da rade na ažuriranjima kako bi popravili ranjivosti.
Kompanije osim Baidua, Vivoa i Xiaomija odgovorile su na naša otkrića”, rekao je Citizenlab.
Izvor:CybersecurityNews
