Дослідницька компанія Citizen Lab оприлюднила результати свого нового
тестування клавіатурних додатків для смартфонів, виявивши серйозні вразливості, що стосуються майже мільярда користувачів по всьому світу. Текст і тест дуже великий, читати будете довго. Якщо швиденько, то ось головні сенси.
У рамках своєї роботи експерти проаналізували хмарні додатки з піньїньською клавіатурою від дев'яти виробників, серед яких великі бренди як Baidu, Honor, Huawei, iFlytek, OPPO, Samsung, Tencent, Vivo та Xiaomi. Аналіз показав, що вісім з дев'яти досліджених додатків містять критичні вразливості, які дозволяють зловмисникам віддалено стежити за введенням тексту користувачем.
Ці вразливості, за словами дослідників, можуть бути використані повністю пасивними мережевими підслуховувачами, що ставить під загрозу конфіденційність введення на пристроях користувачів. У звіті також згадується, що альянс розвідувальних агенцій "П'ять очей" вже використовував подібні вразливості для стеження.
Після виявлення проблем Citizen Lab негайно повідомила про них всім виробникам. Більшість компаній серйозно поставилися до заяв і виправили виявлені недоліки, однак деякі додатки все ще залишаються вразливими.
На завершення доповіді дослідники висловили рекомендації для різних зацікавлених сторін, закликаючи їх зменшити потенційні ризики в майбутньому та забезпечити більш високий рівень безпеки користувачів.
Показать полностью ...
The not-so-silent type: Vulnerabilities across keyboard apps reveal keystrokes to network eavesdroppers - The Citizen Lab
In this report, we examine cloud-based pinyin keyboard apps from nine vendors (Baidu, Honor, Huawei, iFlyTek, OPPO, Samsung, Tencent, Vivo, and Xiaomi) for vulnerabilities in how the apps transmit user keystrokes. Our analysis found that eight of the nine apps identified contained vulnerabilities that could be exploited to completely reveal the contents of users’ keystrokes in transit. We estimate that up to one billion users could be vulnerable to having all of their keystrokes intercepted, constituting a tremendous risk to user security.