Пользователям, печатающим на китайском языке с помощью облачных приложений Baidu, Honor, iFlytek, Oppo, Samsung, Tencent, Vivo и Xiaomi, следует немедленно обновить своё программное обеспечение. Исследователи обнаружили серьёзные недостатки шифрования в ПО ввода по системе пиньинь, которые могут скомпрометировать вводимые данные. Хотя сведений об использовании уязвимости пока не обнародовано, проблема потенциально может затронуть до миллиарда пользователей.

Источник изображения: techspot.com

Китайское письмо включает в себя тысячи уникальных символов, которые невозможно разместить на клавиатуре, поэтому для набора текста используются альтернативные методы ввода (IME). Во всех уязвимых облачных инструментах использовалась система пиньинь (буквально — «фонетическое письмо»), в которой пользователи используют латиницу для ввода фонетического произношения, а затем выбирают соответствующие символы из набора. Поставщики операционных систем и сторонние разработчики на протяжении десятилетий предоставляют китайским пользователям локальные альтернативные методы ввода, но облачные сервисы опережают локальные приложения по точности определения символов.

Использование любого облачного приложения для набора текста повышает риск отслеживания, поэтому разработчики обеспечивают конфиденциальность с помощью шифрования. Исследователи из Университета Торонто проверили безопасность приложений девяти компаний: Baidu, Honor, Huawei, iFlytek, OPPO, Samsung, Tencent, Vivo и Xiaomi, и в процессе эксперимента успешно считывали нажатия клавиш всех этих инструментов, кроме приложения Huawei.

Исследователи не обнаружили недостатков в приложениях для iOS, поскольку Apple автоматически помещает в «песочницу» клавиатурные приложения, а для доступа и передачи данных требует явного разрешения пользователя. Аналогичные инструменты для Android и Windows признаны гораздо менее безопасными. Пользователи Android могут запретить клавиатурному приложению подключаться к интернету, но большинство пользователей просто не задумываются о потенциальных рисках, да и найти соответствующие элементы управления в настройках не так-то просто.

Исследователи поставили всех разработчиков в известность о найденной уязвимости, и большинство из них уже выпустило обновления для устранения проблем, но недостатки шифрования пока сохраняются в приложениях Baidu, клавиатуре Honor и сервисе Tencent QQ Pinyin. Исследователи перечислили десятки похожих приложений, которые они не тестировали, предположив, что в большинстве приложений могут обнаружится аналогичные уязвимости.

Исследователи выразили тревогу, напомнив предыдущие эпизоды правительственной слежки. Например, Five Eyes — альянс по обмену разведданными между США, Великобританией, Канадой, Австралией и Новой Зеландией — ранее использовал аналогичные уязвимости в китайских приложениях, чтобы шпионить за пользователями.

Во встроенном в приложение TikTok браузере обнаружился код слежения, который добавляется на каждую просматриваемую страницу. Этот код позволяет отслеживать ввод символов на виртуальной клавиатуре и отправлять результаты своей работы на ресурсы сервиса. Проблему выявил независимый исследователь вопросов кибербезопасности Феликс Краузе (Felix Krause) — ранее он сообщил о наличии подобных инструментов в приложениях Facebook✴ и Instagram✴.

Источник изображения: antonbe / pixabay.com

Господин Краузе сообщил, что iOS-версия TikTok отслеживает ввод текста на всех сайтах, которые просматриваются в приложении — это могут быть пароли, данные банковских карт и прочие конфиденциальные данные. Эксперт не берётся судить, как администрация TikTok распоряжается этим инструментом, однако с уверенностью утверждает, что это самый настоящий кейлоггер — шпионский инструмент, обычно используемый разработчиками и операторами вредоносного ПО.

Ситуация усугубляется тем, что в настройках приложения отсутствует возможность назначить открытие страниц по внешним ссылкам через выбранный по умолчанию браузер устройства. Это значит, что пользователи приложения являются заложниками воли разработчика — в качестве альтернативы остаётся разве что копировать эти ссылки и открывать их отдельно в браузере.

Администрация TikTok отреагировала на публикацию независимого исследования предсказуемо негативно, назвав выводы эксперта «неверными и вводящими в заблуждение». Представители сервиса подчеркнули, что и сам автор не берётся говорить о вредоносной активности приложения, основываясь на одном лишь наличии этого кода, и нет достоверных способов утверждать, какие именно данные с его помощью собираются. Наконец, в TikTok заявили, что данный код используется исключительно для отладки, выявления ошибок и мониторинга производительности, сообщил TechCrunch.