Beveiligingsproblemen die worden ontdekt in cloudgebaseerde pinyin-toetsenbordapps kunnen worden uitgebuit om de toetsaanslagen van gebruikers aan snode actoren te onthullen.
De bevindingen zijn afkomstig van het Citizen Lab, dat zwakke punten ontdekte in acht van de negen apps van leveranciers als Baidu, Honor, iFlytek, OPPO, Samsung, Tencent, Vivo en Xiaomi. De enige leverancier waarvan de toetsenbordapp geen beveiligingstekortkomingen vertoonde, is die van Huawei.
De kwetsbaarheden zouden kunnen worden uitgebuit om “de inhoud van de toetsaanslagen van gebruikers onderweg volledig te onthullen”, aldus onderzoekers Jeffrey Knockel, Mona Wang en Zoë Reichert.
De onthulling bouwt voort op eerder onderzoek van het interdisciplinaire laboratorium van de Universiteit van Toronto, dat afgelopen augustus cryptografische fouten in de Sogou-invoermethode van Tencent identificeerde.
Gezamenlijk wordt geschat dat bijna een miljard gebruikers door deze klasse van kwetsbaarheden worden getroffen, waarbij Input Method Editors (IME's) van Sogou, Baidu en iFlytek een groot deel van het marktaandeel voor hun rekening nemen.
Een samenvatting van de geïdentificeerde problemen is als volgt:
- Tencent QQ Pinyin, die kwetsbaar is voor een CBC-opvulling-orakelaanval die het mogelijk zou kunnen maken om platte tekst te herstellen
- Baidu IME, waarmee netwerkafluisteraars netwerktransmissies kunnen decoderen en de getypte tekst op Windows kunnen extraheren vanwege een bug in het BAIDUv3.1-coderingsprotocol
- iFlytek IME, wiens Android-app netwerkafluisteraars in staat stelt de leesbare tekst van onvoldoende gecodeerde netwerktransmissies te herstellen
- Samsung-toetsenbord op Android, dat toetsaanslaggegevens verzendt via gewone, niet-gecodeerde HTTP
- Xiaomi, dat vooraf is geïnstalleerd met toetsenbord-apps van Baidu, iFlytek en Sogou (en daarom vatbaar is voor dezelfde bovengenoemde gebreken)
- OPPO, dat vooraf is geïnstalleerd met toetsenbord-apps van Baidu en Sogou (en daarom vatbaar is voor dezelfde bovengenoemde gebreken)
- Vivo, dat vooraf is geïnstalleerd met Sogou IME (en daarom vatbaar is voor dezelfde bovengenoemde fout)
- Honor, die vooraf is geïnstalleerd met Baidu IME (en daarom vatbaar is voor dezelfde bovengenoemde fout)
Succesvol misbruik van deze kwetsbaarheden zou ervoor kunnen zorgen dat tegenstanders de toetsaanslagen van Chinese mobiele gebruikers volledig passief kunnen ontsleutelen zonder extra netwerkverkeer te verzenden. Na verantwoorde openbaarmaking heeft elke ontwikkelaar van toetsenbordapps, met uitzondering van Honor en Tencent (QQ Pinyin), de problemen vanaf 1 april 2024 aangepakt.
Gebruikers wordt geadviseerd om hun apps en besturingssystemen up-to-date te houden en over te schakelen naar een toetsenbordapp die volledig op het apparaat werkt om deze privacyproblemen te beperken.
Andere aanbevelingen roepen app-ontwikkelaars op om goed geteste en standaard encryptieprotocollen te gebruiken in plaats van versies van eigen bodem te ontwikkelen die beveiligingsproblemen kunnen hebben. Appstore-exploitanten zijn ook aangespoord om beveiligingsupdates niet te geoblokkeren en ontwikkelaars in staat te stellen te bevestigen dat alle gegevens met encryptie worden verzonden.
Het Citizen Lab theoretiseerde dat het mogelijk is dat Chinese app-ontwikkelaars minder geneigd zijn om 'westerse' cryptografische standaarden te gebruiken, omdat ze bang zijn dat ze zelf achterdeurtjes bevatten, wat hen ertoe aanzet om interne cijfers te ontwikkelen.
“Gezien de omvang van deze kwetsbaarheden, de gevoeligheid van wat gebruikers op hun apparaten typen, het gemak waarmee deze kwetsbaarheden zijn ontdekt en het feit dat de Vijf Ogen eerder vergelijkbare kwetsbaarheden in Chinese apps hebben uitgebuit voor surveillance, is het mogelijk dat zulke kwetsbaarheden De toetsaanslagen van gebruikers kunnen ook onder massaal toezicht hebben gestaan”, aldus de onderzoekers.