Uma vulnerabilidade de segurança descoberta no aplicativo de teclado Pinyin baseado em nuvem pode ser explorada para expor as teclas digitadas por um usuário a agentes mal-intencionados.
As descobertas vêm do Citizen Lab, que encontrou pontos fracos em oito dos nove aplicativos de fornecedores como Baidu, Honor, iFlytek, OPPO, Samsung, Tencent, Vivo e Xiaomi. O único fornecedor cujo aplicativo de teclado não apresentava falhas de segurança era o da Huawei.
Os pesquisadores Jeffrey Knockel, Mona Wang e Zoë Reichert disseram que a vulnerabilidade poderia ser explorada para “revelar o conteúdo completo das teclas digitadas por um usuário enquanto ele está em movimento”.
A divulgação se baseia em pesquisas anteriores de um laboratório multidisciplinar baseado na Universidade de Toronto, que identificou uma falha criptográfica no método de entrada Sogou da Tencent em agosto passado.
No total, estima-se que quase 1 bilhão de usuários sejam afetados por esses tipos de vulnerabilidades, com os editores de métodos de entrada (IMEs) da Sogou, Baidu e iFlytek representando a maior parte da participação de mercado.
Aqui está um resumo dos problemas identificados:
- Tencent QQ Pinyin é vulnerável a ataques oracle de preenchimento CBC que permitem recuperação de texto simples
- Baidu IME. Um bug no protocolo de criptografia BAIDUv3.1 permite que bisbilhoteiros descriptografem as comunicações da rede e extraiam texto digitado no Windows.
- O aplicativo iFlytek IME para Android permite que bisbilhoteiros de rede recuperem o texto simples de transmissões de rede mal criptografadas.
- Teclado Samsung no Android. Envia dados de pressionamento de tecla por HTTP simples e não criptografado.
- Xiaomi vem com aplicativos de teclado do Baidu, iFlytek e Sogou pré-instalados (e, portanto, suscetíveis às falhas mencionadas acima)
- OPPO vem com aplicativos de teclado Baidu e Sogou pré-instalados (e, portanto, suscetíveis às falhas mencionadas acima)
- Vivo, Sogou IME pré-instalado (e portanto suscetível às falhas mencionadas)
- Honor, com Baidu IME pré-instalado (e portanto suscetível às mesmas falhas mencionadas acima)
A exploração bem-sucedida dessas vulnerabilidades poderia permitir que um invasor decodificasse as teclas digitadas por usuários móveis na China de forma totalmente passiva, sem enviar qualquer tráfego de rede adicional. Após divulgação responsável, todos os desenvolvedores de aplicativos de teclado, exceto Honor e Tencent (QQ Pinyin), resolveram esse problema a partir de 1º de abril de 2024.
Recomendamos que os usuários mantenham seus aplicativos e sistemas operacionais atualizados e mudem para um aplicativo de teclado que seja executado inteiramente em seus dispositivos para reduzir preocupações com privacidade.
Outras recomendações pedem aos desenvolvedores de aplicativos que usem protocolos de criptografia padrão e bem testados, em vez de desenvolver versões proprietárias que possam ter problemas de segurança. Os operadores de lojas de aplicativos também são obrigados a não bloquear geograficamente as atualizações de segurança e a permitir que os desenvolvedores certifiquem todos os dados enviados criptografados.
O Citizen Lab descobriu que os desenvolvedores de aplicativos chineses são menos propensos a usar padrões criptográficos “ocidentais” devido a preocupações de que possam conter backdoors proprietários, potencialmente encorajando o desenvolvimento de criptografia interna.
“O escopo dessas vulnerabilidades, a sensibilidade do que os usuários digitam em seus dispositivos, a facilidade com que essas vulnerabilidades são descobertas e o fato de que a Five Eyes já identificou vulnerabilidades semelhantes em aplicativos chineses para vigilância. existe vulnerabilidade, visto que as teclas digitadas pelo usuário também podem ter sido sujeitas a vigilância em massa”, disseram os pesquisadores.
