Um estudo do Citizen Research Institute da Universidade de Toronto sugere que muitos aplicativos de teclado chineses, alguns dos principais fabricantes de telefones celulares, podem vazar as teclas digitadas para determinados olhares indiscretos, potencialmente até 500 milhões de pessoas estarão em risco.
Como uma descoberta de laboratório [PDF] “Não há como encaixar as dezenas de milhares de kanji que existem em um teclado”, explica ele.
Portanto, os computadores configurados para uso por falantes de chinês empregam software de “editor de método de entrada” (IME), o mais comum dos quais usa o alfabeto latino para criar sons em mandarim. Os smartphones destinados ao uso por falantes de chinês geralmente incluem um aplicativo de teclado Pinyin, que também está disponível na app store.
No entanto, mapear caracteres latinos para caracteres chineses não é fácil, por isso alguns aplicativos Pinyin carregam as teclas digitadas na nuvem para processamento.
De acordo com o Citizen Lab, o aplicativo Pinyin do Baidu usa criptografia fraca, o que torna as teclas digitadas pelo usuário suscetíveis de serem interceptadas por bisbilhoteiros, que podem, portanto, ler todas as entradas. Aplicativos da Samsung, Xiaomi, OPPO, Honor e iFlytek usam criptografia que já foi comprometida por explorações funcionais que permitem que as teclas digitadas sejam interceptadas por bisbilhoteiros ativos e passivos. O aplicativo Pinyin do Baidu para Windows tem o mesmo problema.
Os aplicativos Tencent, Xiaomi, OPPO e Vivo têm um problema que permite que as teclas digitadas sejam interceptadas por bisbilhoteiros ativos.
Os aplicativos IME são adaptados para diferentes dispositivos, e algumas versões de aplicativos IME apresentam vulnerabilidades que existem apenas em determinadas máquinas.
O Citizen Lab relatou suas descobertas às empresas relacionadas, mas os resultados foram mistos.
“Todas as empresas responderam às nossas divulgações, exceto Baidu, Vivo e Xiaomi”, afirma o relatório do instituto. O Baidu corrigiu os problemas mais sérios encontrados pelos pesquisadores, mas não todos.
A Tencent prometeu consertar seu produto até 1º de abril, mas até a publicação deste artigo, parece que não o fez. Provavelmente porque eles estão pensando em consertar aplicativos inseguros caso eles cheguem ao fim de sua vida útil.
Mesmo que o aplicativo seja atualizado para solucionar as falhas encontradas pelo Citizen Lab, a organização teme que as dificuldades na atualização do software signifiquem problemas contínuos. Por exemplo, os dispositivos Honor não têm a capacidade de atualizar o aplicativo de teclado. Para atualizar os aplicativos Samsung, você precisa criar uma conta. Pesquisadores do instituto também descobriram que algumas atualizações de aplicativos foram bloqueadas geograficamente.
As aplicações de teclado estudadas pelo Citizen Lab têm uma quota de mercado superior a 95% na China e metade do mercado pertence a fabricantes de telefones que pré-instalaram o software vulnerável. “A extensão disto não pode ser subestimada”, conclui o relatório.
Citizen Lab estima que aproximadamente 780 milhões de pessoas correm risco de vigilância por smartphones.
Para piorar a situação, o instituto descobriu um problema semelhante no ano passado em um aplicativo de entrada popular chamado Sogou e “estimou que quase 1 bilhão de usuários foram afetados por este tipo de vulnerabilidade”.
Neste ponto, os leitores podem chegar à conclusão de que o governo chinês não se preocupa com o acesso dos seus cidadãos aos smartphones.
Citizen Lab sugere que esta hipótese é fraca. Pequim não precisa de um backdoor porque já coleta dados de digitação, não gosta da ideia de terceiros fazerem a mesma coisa e está sempre buscando melhorar a segurança do software.
O instituto acredita que o problema decorre da relutância em usar criptografia comprovada, talvez por medo de que seja comprometida pelos países ocidentais.
Este estudo sugere uma série de ações que poderiam ser tomadas em todo o ecossistema de smartphones (desenvolvedores, fabricantes, lojas de aplicativos) para fazer história para esses tipos de vulnerabilidades.
Mas, por enquanto, inclui conselhos mais práticos: atualize seu aplicativo Pinyin o mais rápido possível. ®
