ユーザーが Android、iOS、またはその他のモバイル デバイスに漢字を入力できるようにするほぼすべてのキーボード アプリは、攻撃者がキーストローク全体をキャプチャできる攻撃に対して脆弱です。
これには、エンドツーエンドで暗号化されるログイン認証情報、財務情報、メッセージなどのデータが含まれていることが、トロント大学のシチズンラボによる新たな研究で明らかになりました。
ユビキタスな問題
研究同研究所の研究者らは、中国のユーザーに販売している9つのベンダー(Baidu、Samsung、Huawei、Tencent、Xiaomi、Vivo、OPPO、iFlytek、Honor)のクラウドベースのピンインアプリ(漢字をローマ字綴りの単語に変換するアプリ)を検討した。 。彼らの調査では、ファーウェイのアプリを除くすべてのアプリが、受動的盗聴者がクリアテキストでほとんど困難なく内容を読み取ることを可能にする方法でキーストロークデータをクラウドに送信していることが判明した。 Citizen Lab の研究者は、長年にわたり複数のサイバースパイ行為を暴露することで名声を博しており、 監視およびその他の脅威 モバイルユーザーと市民社会をターゲットにしたもので、それぞれの製品にはユーザーのキーストロークのクラウドへの送信の処理方法に悪用可能な脆弱性が少なくとも1つ含まれているという。
脆弱性の範囲を過小評価すべきではないと、Citizen Lab の研究者である Jeffrey Knockel、Mona Wang、Zoe Reichert は今週、調査結果をまとめたレポートの中で次のように書いています。 Citizen Lab の研究者らは、中国本土のキーボード アプリ ユーザーの 76% が実際に中国語の文字を入力するにはピンイン キーボードを使用します。
「このレポートで取り上げたすべての脆弱性は、追加のネットワーク トラフィックを送信することなく完全に受動的に悪用される可能性があります」と研究者らは述べています。さらに、この脆弱性は発見するのが簡単であり、悪用するために高度な技術を必要としないと彼らは指摘しました。 「そのため、これらの脆弱性が積極的に大規模悪用されているのではないかと疑問に思うかもしれません。」
Citizen Lab が調査した脆弱なピンイン キーボード アプリはそれぞれ、ローカルのデバイス上のコンポーネントと、長い音節文字列や特に複雑な文字を処理するためのクラウドベースの予測サービスの両方を備えていました。彼らが調査した 9 つのアプリのうち、3 つはモバイル ソフトウェア開発者 (Tencent、Baidu、iFlytek) によるものでした。残りの 5 つは、Samsung、Xiaomi、OPPO、Vivo、Honor (すべてモバイル デバイス メーカー) が自社で開発したか、サードパーティの開発者から自社のデバイスに統合されたアプリでした。
アクティブおよびパッシブな方法で悪用可能
悪用の手口はアプリごとに異なります。たとえば、Tencent の Android および Windows 用 QQ Pinyin アプリには脆弱性があり、研究者らはこれを利用してアクティブな盗聴手法を介してキーストロークを復号する実用的なエクスプロイトを作成できました。 Baidu の Windows 用 IME にも同様の脆弱性が含まれており、Citizen Lab はアクティブおよびパッシブ盗聴方法の両方を介してキーストローク データを復号化する実用的なエクスプロイトを作成しました。
研究者らは、Baidu の iOS および Android バージョンで、暗号化に関連するプライバシーとセキュリティの他の弱点を発見しましたが、それらに対するエクスプロイトは開発しませんでした。 Android 用 iFlytek アプリには、受動的盗聴者が平文キーボード送信で回復できる脆弱性がありました。 モバイル暗号化.
ハードウェア ベンダー側では、Samsung 製の自社製キーボード アプリは暗号化をまったく提供せず、キーストロークの送信を平文で送信していました。 Samsung はまた、Tencent の Sogou アプリまたは Baidu のアプリを自分のデバイスで使用するオプションをユーザーに提供しています。 Citizen Lab は、2 つのアプリのうち、Baidu のキーボード アプリが攻撃に対して脆弱であると特定しました。
研究者らは、Vivo が社内で開発したピンイン キーボード アプリの問題を特定できませんでしたが、Vivo のデバイスでも利用できる Tencent アプリで発見した脆弱性を悪用する機能を持っていました。
他のモバイル デバイス メーカーのデバイスで利用できるサードパーティの Pinyin アプリ (Baidu、Tencent、iFlytek 製) にも同様に悪用可能な脆弱性がありました。
これらは珍しい問題ではないことがわかりました。昨年、Citizen Labs は、中国の約 450 億 XNUMX 万人が使用している Tencent の Sogou について別の調査を実施し、キー入力を盗聴攻撃にさらす脆弱性を発見しました。
「今回発見された脆弱性と、Sogou のキーボード アプリを分析した前回のレポートを組み合わせると、最大 10 億人のユーザーがこれらの脆弱性の影響を受けると推定されます」と Citizen Lab は述べています。
脆弱性により、 大量監視を可能にする 米国、英国、カナダ、オーストラリア、ニュージーランドのいわゆるファイブ・アイズ諸国に属する信号諜報機関を含む、中国のモバイル機器ユーザーの割合をシチズン・ラボが発表した。シチズン・ラボが新たな調査で発見したキーボードアプリの脆弱性は、これらの国の諜報機関が監視目的で悪用した中国開発のUCブラウザーの脆弱性と非常に似ていると報告書は指摘している。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/endpoint-security/most-chinese-keyboard-apps-vulnerable-to-eavesdropping
