A falha foi descoberta em um aplicativo de teclado usado para inserir caracteres chineses usando o sistema de escrita Pinyin. Os pesquisadores analisaram aplicativos de nove fornecedores: Baidu, Honor, Huawei, iFlytek, OPPO, Samsung, Tencent, Vivo e Xiaomi. Os dispositivos investigados foram vendidos na China.
Acontece que os teclados Samsung não executam nenhum tipo de criptografia e a maioria dos outros teclados não usa criptografia assimétrica.
Muitos desses aplicativos, incluindo aquele que os pesquisadores analisaram, oferecem previsões baseadas na nuvem porque criar um teclado que permita aos usuários digitar caracteres chineses de forma rápida e fácil é um desafio. Incluir esse recurso significa que o que você digita é enviado para um servidor em outro lugar.
De todos os aplicativos de teclado Pinyin analisados pelo Citizen Lab, descobriu-se que todos, exceto o Huawei, apresentavam vulnerabilidades que poderiam ser exploradas para revelar a entrada do usuário. Essa falha essencialmente transforma seu teclado baseado em nuvem em um keylogger.
Esta vulnerabilidade pode ser explorada por bisbilhoteiros passivos da rede sem interferir no canal de comunicação, dificultando a sua detecção.
Essas falhas, que podem ler o que alguém digita em seu dispositivo, podem ser de interesse para diversas partes, incluindo agências de inteligência governamentais. Os investigadores estão preocupados por não terem sido os primeiros a descobrir a vulnerabilidade e que esta possa ter sido explorada para fins de vigilância.
Os pesquisadores acreditam que até 1 bilhão de usuários podem ter sido afetados por esta vulnerabilidade e por outra vulnerabilidade semelhante. Esta vulnerabilidade foi relatada a todos os fornecedores e a maioria a corrigiu.
O relatório observa que nem os aplicativos de teclado da Apple nem do Google enviam pressionamentos de tecla para servidores em nuvem.
Se você não deseja que ninguém veja o que você digita no seu telefone, recomendamos usar o teclado do dispositivo e manter seus aplicativos e sistema operacional atualizados.
