लगभग सभी कीबोर्ड ऐप जो उपयोगकर्ताओं को अपने एंड्रॉइड, आईओएस या अन्य मोबाइल उपकरणों में चीनी अक्षरों को दर्ज करने की अनुमति देते हैं, उन हमलों के प्रति संवेदनशील होते हैं जो एक प्रतिद्वंद्वी को उनके संपूर्ण कीस्ट्रोक्स पर कब्जा करने की अनुमति देते हैं।
इसमें लॉगिन क्रेडेंशियल, वित्तीय जानकारी और संदेश जैसे डेटा शामिल हैं जो अन्यथा एंड-टू-एंड एन्क्रिप्टेड होंगे, टोरंटो विश्वविद्यालय के सिटीजन लैब के एक नए अध्ययन से पता चला है।
सर्वव्यापी समस्या
के लिए अध्ययनप्रयोगशाला के शोधकर्ताओं ने चीन में उपयोगकर्ताओं को बेचने वाले नौ विक्रेताओं के क्लाउड-आधारित पिनयिन ऐप्स (जो चीनी अक्षरों को रोमन अक्षरों से लिखे गए शब्दों में प्रस्तुत करते हैं) पर विचार किया: Baidu, Samsung, Huawei, Tencent, Xiaomi, Vivo, OPPO, iFlytek, और Honor . उनकी जांच से पता चला कि हुआवेई के ऐप के अलावा बाकी सभी ऐप कीस्ट्रोक डेटा को क्लाउड पर इस तरह से प्रसारित कर रहे थे कि एक निष्क्रिय इव्सड्रॉपर स्पष्ट पाठ में और थोड़ी कठिनाई के साथ सामग्री को पढ़ने में सक्षम हो गया। सिटीजन लैब के शोधकर्ता, जिन्होंने कई साइबर जासूसी को उजागर करने के लिए वर्षों से ख्याति अर्जित की है, निगरानी, और अन्य खतरे मोबाइल उपयोगकर्ताओं और नागरिक समाज पर लक्षित, कहा गया कि उनमें से प्रत्येक में कम से कम एक शोषक भेद्यता है कि वे उपयोगकर्ता कीस्ट्रोक्स के क्लाउड पर प्रसारण को कैसे संभालते हैं।
कमजोरियों के दायरे को कम करके नहीं आंका जाना चाहिए, सिटीजन लैब के शोधकर्ता जेफरी नॉकेल, मोना वांग और ज़ो रीचर्ट ने इस सप्ताह अपने निष्कर्षों का सारांश देते हुए एक रिपोर्ट में लिखा: सिटीजन लैब के शोधकर्ताओं ने पाया कि मुख्य भूमि चीन में 76% कीबोर्ड ऐप उपयोगकर्ता, वास्तव में, चीनी अक्षरों को इनपुट करने के लिए पिनयिन कीबोर्ड का उपयोग करें।
शोधकर्ताओं ने कहा, "इस रिपोर्ट में हमने जिन सभी कमजोरियों को कवर किया है, उनका बिना कोई अतिरिक्त नेटवर्क ट्रैफिक भेजे पूरी तरह से निष्क्रिय रूप से फायदा उठाया जा सकता है।" उन्होंने कहा कि, कमजोरियों का पता लगाना आसान था और इसका फायदा उठाने के लिए किसी तकनीकी परिष्कार की आवश्यकता नहीं थी। "ऐसे में, हमें आश्चर्य हो सकता है कि क्या ये कमजोरियाँ सक्रिय रूप से बड़े पैमाने पर शोषण के अधीन हैं?"
सिटीजन लैब ने जिन कमजोर पिनयिन कीबोर्ड ऐप्स की जांच की, उनमें से प्रत्येक में अक्षरों की लंबी श्रृंखला और विशेष रूप से जटिल वर्णों को संभालने के लिए एक स्थानीय, ऑन-डिवाइस घटक और क्लाउड-आधारित भविष्यवाणी सेवा थी। उन्होंने जिन नौ ऐप्स को देखा, उनमें से तीन मोबाइल सॉफ्टवेयर डेवलपर्स - Tencent, Baidu और iFlytek के थे। शेष पांच ऐप ऐसे थे जिन्हें सैमसंग, श्याओमी, ओप्पो, वीवो और ऑनर - सभी मोबाइल डिवाइस निर्माता - ने या तो स्वयं विकसित किया था या किसी तीसरे पक्ष के डेवलपर से अपने डिवाइस में एकीकृत किया था।
सक्रिय और निष्क्रिय तरीकों से शोषण योग्य
प्रत्येक ऐप के लिए शोषण के तरीके अलग-अलग होते हैं। उदाहरण के लिए, एंड्रॉइड और विंडोज़ के लिए Tencent के QQ पिनयिन ऐप में एक भेद्यता थी जिसने शोधकर्ताओं को सक्रिय ईव्सड्रॉपिंग विधियों के माध्यम से कीस्ट्रोक्स को डिक्रिप्ट करने के लिए एक कार्यशील शोषण बनाने की अनुमति दी थी। विंडोज़ के लिए Baidu के IME में एक समान भेद्यता थी, जिसके लिए सिटीजन लैब ने सक्रिय और निष्क्रिय ईव्सड्रॉपिंग दोनों तरीकों के माध्यम से कीस्ट्रोक डेटा को डिक्रिप्ट करने के लिए एक कार्यशील शोषण बनाया।
शोधकर्ताओं ने Baidu के iOS और Android संस्करणों में अन्य एन्क्रिप्टेड संबंधित गोपनीयता और सुरक्षा कमजोरियां पाईं, लेकिन उनके लिए शोषण विकसित नहीं किया। एंड्रॉइड के लिए iFlytek के ऐप में एक भेद्यता थी जो अपर्याप्तता के कारण एक निष्क्रिय इव्सड्रॉपर को प्लेनटेक्स्ट कीबोर्ड ट्रांसमिशन में पुनर्प्राप्त करने की अनुमति देती थी। मोबाइल एन्क्रिप्शन.
हार्डवेयर विक्रेता पक्ष पर, सैमसंग के घरेलू कीबोर्ड ऐप ने बिल्कुल भी एन्क्रिप्शन की पेशकश नहीं की और इसके बजाय स्पष्ट रूप से कीस्ट्रोक ट्रांसमिशन भेजा। सैमसंग उपयोगकर्ताओं को अपने डिवाइस पर Tencent के Sogou ऐप या Baidu के ऐप का उपयोग करने का विकल्प भी प्रदान करता है। दो ऐप्स में से, सिटीजन लैब ने Baidu के कीबोर्ड ऐप को हमले के प्रति संवेदनशील माना।
शोधकर्ता विवो के आंतरिक रूप से विकसित पिनयिन कीबोर्ड ऐप के साथ किसी भी मुद्दे की पहचान करने में असमर्थ थे, लेकिन उन्हें एक Tencent ऐप में एक भेद्यता का पता चला जो विवो के उपकरणों पर भी उपलब्ध है।
तृतीय-पक्ष पिनयिन ऐप्स (Baidu, Tencent और iFlytek से) जो अन्य मोबाइल डिवाइस निर्माताओं के उपकरणों के साथ उपलब्ध हैं, उनमें भी शोषण योग्य कमजोरियाँ थीं।
ऐसा प्रतीत होता है कि ये असामान्य मुद्दे नहीं हैं। पिछले साल, सिटीजन लैब्स ने टेनसेंट के सोगौ में एक अलग जांच की थी - जिसका उपयोग चीन में लगभग 450 मिलियन लोगों द्वारा किया जाता है - और कमजोरियां पाई गईं जो कि कीस्ट्रोक्स को छिपकर हमला करने के लिए उजागर करती थीं।
सिटीजन लैब ने कहा, "इसमें खोजी गई कमजोरियों और सोगौ के कीबोर्ड ऐप्स का विश्लेषण करने वाली हमारी पिछली रिपोर्ट को मिलाकर, हमारा अनुमान है कि एक अरब से अधिक उपयोगकर्ता इन कमजोरियों से प्रभावित हैं।"
कमजोरियाँ हो सकती हैं बड़े पैमाने पर निगरानी सक्षम करें चीनी मोबाइल डिवाइस उपयोगकर्ताओं की संख्या - जिसमें तथाकथित फाइव आईज देशों - यूएस, यूके, कनाडा, ऑस्ट्रेलिया और न्यूजीलैंड से संबंधित सिग्नल खुफिया सेवाएं शामिल हैं - सिटीजन लैब ने कहा; रिपोर्ट में कहा गया है कि सिटीजन लैब ने अपने नए शोध में कीबोर्ड ऐप्स में जो कमजोरियां खोजीं, वे चीन-विकसित यूसी ब्राउज़र में कमजोरियों के समान हैं, जिनका इन देशों की खुफिया एजेंसियों ने निगरानी उद्देश्यों के लिए फायदा उठाया।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/endpoint-security/most-chinese-keyboard-apps-vulnerable-to-eavesdropping
