基于云的拼音键盘应用程序中发现的安全漏洞可能会被利用,向不法分子泄露用户的击键内容。
该调查结果来自公民实验室,该实验室发现了百度、荣耀、科大讯飞、OPPO、三星、腾讯、Vivo和小米等供应商的九款应用程序中的八款存在缺陷。唯一一家键盘应用程序不存在任何安全缺陷的供应商是华为。
研究人员杰弗里·诺克尔 (Jeffrey Knockel)、莫娜·王 (Mona Wang) 和佐伊·赖克特 (Zoë Reichert)表示,这些漏洞可能被用来“完全泄露用户在传输过程中的击键内容”。
此次披露是基于多伦多大学跨学科实验室的先前研究,该实验室去年八月发现了腾讯搜狗输入法的密码缺陷。
总体而言,估计有近 10 亿用户受到此类漏洞的影响,其中搜狗、百度和科大讯飞的输入法编辑器 (IME) 占据了很大一部分市场份额。
已发现的问题摘要如下:
腾讯QQ拼音易受CBC padding oracle攻击,可恢复明文
百度输入法,由于 BAIDUv3.1 加密协议中的错误,允许网络窃听者解密网络传输并提取 Windows 上键入的文本
iFlytek IME,其 Android 应用程序允许网络窃听者恢复未充分加密的网络传输的明文
Android 上的三星键盘,通过普通、未加密的 HTTP 传输击键数据
小米,预装了百度、科大讯飞和搜狗的键盘应用程序(因此容易受到上述相同缺陷的影响)
OPPO,预装了百度和搜狗的键盘应用程序(因此容易受到上述相同缺陷的影响)
Vivo,预装了搜狗输入法(因此容易受到上述相同缺陷的影响)
Honor,预装了百度输入法(因此容易受到上述相同缺陷的影响)
成功利用这些漏洞可以让攻击者完全被动地解密中国移动用户的击键,而无需发送任何额外的网络流量。经过负责任的披露,截至 2024 年 4 月 1 日,除荣耀和腾讯(QQ拼音)外,所有键盘应用程序开发商均已解决了这些问题。
建议用户保持应用程序和操作系统最新,并切换到完全在设备上运行的键盘应用程序,以缓解这些隐私问题。
其他建议呼吁应用程序开发人员使用经过充分测试的标准加密协议,而不是开发可能存在安全问题的本土版本。应用商店运营商也被敦促不要对安全更新进行地理封锁,并允许开发人员证明所有数据都以加密方式传输。
公民实验室推测,中国应用程序开发人员可能不太愿意使用“西方”加密标准,因为担心它们可能包含自己的后门,促使他们开发内部密码。
“考虑到这些漏洞的范围、用户在设备上输入内容的敏感性、这些漏洞被发现的难易程度,以及五眼联盟之前曾利用中国应用程序中的类似漏洞进行监视,因此此类用户的击键也可能受到大规模监视,”研究人员说。
发表评论
您还未登录,请先登录。
登录