Vulnerabilidades de segurança foram descobertas em aplicativos de teclado pinyin baseados na nuvem, que podem ser exploradas para revelar as digitações dos usuários a atores nefastos.
As descobertas são do Citizen Lab, que identificou fraquezas em oito de nove apps de fornecedores como Baidu, Honor, iFlytek, OPPO, Samsung, Tencent, Vivo e Xiaomi.
O único fornecedor cujo aplicativo de teclado não apresentou falhas de segurança foi o da Huawei.
As vulnerabilidades poderiam ser exploradas para "revelar completamente o conteúdo das digitações dos usuários em trânsito", disseram os pesquisadores Jeffrey Knockel, Mona Wang e Zoë Reichert.
O comunicado se baseia em pesquisas anteriores do laboratório interdisciplinar, sediado na Universidade de Toronto, que identificou falhas criptográficas no Método de Entrada Sogou da Tencent em agosto último.
Estima-se coletivamente que perto de um bilhão de usuários sejam afetados por essa classe de vulnerabilidades, com os Editores de Método de Entrada (IMEs) da Sogou, Baidu e iFlytek representando uma grande parte do market share.
Segue um resumo dos problemas identificados:
- Tencent QQ Pinyin, que é vulnerável a um ataque de oráculo de preenchimento CBC que poderia possibilitar a recuperação do texto em claro;
- Baidu IME, que permite a interceptadores de rede decifrar transmissões de rede e extrair o texto digitado no Windows devido a um bug no protocolo de criptografia BAIDUv3.1;
- iFlytek IME, cujo aplicativo Android permite a interceptadores de rede recuperar o texto em claro de transmissões de rede insuficientemente criptografadas;
- Teclado Samsung no Android, que transmite dados de digitação via HTTP simples, sem criptografia;
- Xiaomi, que vem pré-instalado com aplicativos de teclado da Baidu, iFlytek e Sogou (e, portanto, suscetível às mesmas falhas mencionadas acima);
- OPPO, que vem pré-instalado com aplicativos de teclado da Baidu e Sogou (e, portanto, suscetível às mesmas falhas mencionadas acima);
- Vivo, que vem pré-instalado com o IME da Sogou (e, portanto, suscetível à mesma falha mencionada acima);
- Honor, que vem pré-instalado com o IME da Baidu (e, portanto, suscetível à mesma falha mencionada acima).
A exploração bem-sucedida dessas vulnerabilidades poderia permitir que adversários decifrassem completamente as digitações dos usuários móveis chineses de forma totalmente passiva, sem enviar nenhum tráfego de rede adicional.
Após a divulgação responsável, todos os desenvolvedores de aplicativos de teclado, com exceção de Honor e Tencent (QQ Pinyin), abordaram as questões até 1º de abril de 2024.
Aconselha-se aos usuários manter seus aplicativos e sistemas operacionais atualizados e trocar para um aplicativo de teclado que opere inteiramente no dispositivo para mitigar essas questões de privacidade.
Outras recomendações pedem aos desenvolvedores de aplicativos que usem protocolos de criptografia padrão e bem testados, em vez de desenvolver versões caseiras que possam ter problemas de segurança.
Operadores de lojas de aplicativos também foram instados a não bloquear geograficamente atualizações de segurança e permitir que desenvolvedores atestem que todos os dados sendo transmitidos estejam criptografados.
O Citizen Lab teorizou que é possível que desenvolvedores de aplicativos chineses estejam menos inclinados a usar padrões criptográficos "ocidentais" devido a preocupações de que possam conter backdoors próprios, levando-os a desenvolver cifras internas.
"Dado o escopo dessas vulnerabilidades, a sensibilidade do que os usuários digitam em seus dispositivos, a facilidade com que essas vulnerabilidades podem ter sido descobertas, e que os Five Eyes já exploraram vulnerabilidades semelhantes em aplicativos chineses para vigilância, é possível que as digitações desses usuários também tenham estado sob vigilância em massa", disseram os pesquisadores.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...