重大(dà)安全漏洞暴露了超過10億中(zhōng)文鍵盤應用用戶的擊鍵行爲

發布日期:2024-04-28首頁 > 安全資(zī)訊

     基于雲的拼音鍵盤應用程序中(zhōng)發現的安全漏洞可能會被利用,向不法分(fēn)子洩露用戶的擊鍵内容。

該調查結果來自公民實驗室,該實驗室發現了百度、榮耀、科大(dà)訊飛、OPPO、三星、騰訊、Vivo和小(xiǎo)米等供應商(shāng)的九款應用程序中(zhōng)的八款存在缺陷。唯一(yī)一(yī)家鍵盤應用程序不存在任何安全缺陷的供應商(shāng)是華爲。

研究人員(yuán)傑弗裏·諾克爾 (Jeffrey Knockel)、莫娜·王 (Mona Wang) 和佐伊·賴克特 (Zoë Reichert)表示,這些漏洞可能被用來“完全洩露用戶在傳輸過程中(zhōng)的擊鍵内容”。

此次披露是基于多倫多大(dà)學跨學科實驗室的先前研究,該實驗室去(qù)年八月發現了騰訊搜狗輸入法的密碼缺陷。

總體(tǐ)而言,估計有近 10 億用戶受到此類漏洞的影響,其中(zhōng)搜狗、百度和科大(dà)訊飛的輸入法編輯器 (IME) 占據了很大(dà)一(yī)部分(fēn)市場份額。

已發現的問題摘要如下(xià):

 騰訊QQ拼音易受CBC padding oracle攻擊,可恢複明文
   百度輸入法,由于 BAIDUv3.1 加密協議中(zhōng)的錯誤,允許網絡竊聽(tīng)者解密網絡傳輸并提取 Windows 上鍵入的文本
   iFlytek IME,其 Android 應用程序允許網絡竊聽(tīng)者恢複未充分(fēn)加密的網絡傳輸的明文
   Android 上的三星鍵盤,通過普通、未加密的 HTTP 傳輸擊鍵數據
   小(xiǎo)米,預裝了百度、科大(dà)訊飛和搜狗的鍵盤應用程序(因此容易受到上述相同缺陷的影響)
   OPPO,預裝了百度和搜狗的鍵盤應用程序(因此容易受到上述相同缺陷的影響)
   Vivo,預裝了搜狗輸入法(因此容易受到上述相同缺陷的影響)
   Honor,預裝了百度輸入法(因此容易受到上述相同缺陷的影響)
   成功利用這些漏洞可以讓攻擊者完全被動地解密中(zhōng)國移動用戶的擊鍵,而無需發送任何額外(wài)的網絡流量。經過負責任的披露,截至 2024 年 4 月 1 日,除榮耀和騰訊(QQ拼音)外(wài),所有鍵盤應用程序開(kāi)發商(shāng)均已解決了這些問題。

建議用戶保持應用程序和操作系統最新,并切換到完全在設備上運行的鍵盤應用程序,以緩解這些隐私問題。

其他建議呼籲應用程序開(kāi)發人員(yuán)使用經過充分(fēn)測試的标準加密協議,而不是開(kāi)發可能存在安全問題的本土版本。應用商(shāng)店(diàn)運營商(shāng)也被敦促不要對安全更新進行地理封鎖,并允許開(kāi)發人員(yuán)證明所有數據都以加密方式傳輸。

公民實驗室推測,中(zhōng)國應用程序開(kāi)發人員(yuán)可能不太願意使用“西方”加密标準,因爲擔心它們可能包含自己的後門,促使他們開(kāi)發内部密碼。

“考慮到這些漏洞的範圍、用戶在設備上輸入内容的敏感性、這些漏洞被發現的難易程度,以及五眼聯盟之前曾利用中(zhōng)國應用程序中(zhōng)的類似漏洞進行監視,因此此類用戶的擊鍵也可能受到大(dà)規模監視,”研究人員(yuán)說。

隐私專家的建議

輸入法安全漏洞可導緻個人财務信息、登錄賬号和隐私洩露。隐私專家建議手機用戶應保持應用程序和操作系統更新到最新版本。如果用戶擔心雲輸入法的隐私問題,建議考慮切換到完全在設備上運行的本地輸入法應用(模式)。

 

 

 

 

轉載自安全客