1. Эксперты Citizen Lab выявили многочисленные уязвимости в облачных приложениях пиньинь клавиатур.
2. Проблемы могут использоваться для перехвата нажатий клавиш и угрожают примерно миллиарду пользователей.
3. Уязвимости обнаружены в восьми из девяти приложений, включая Baidu, Honor, iFlytek, OPPO, Samsung, Tencent, Vivo и Xiaomi. Единственный безопасный производитель – Huawei.
4. Найденные баги могут привести к полному раскрытию нажатых клавиш при передаче.
5. Этот класс уязвимостей затрагивает около миллиарда пользователей по всему миру.
6. 95% рынка клавиатур, созданных для ввода китайских иероглифов, используют уязвимые IME от Sogou, Baidu и iFlytek.
7. Успешная эксплуатация багов позволяет расшифровывать нажатия клавиш в пассивном режиме без передачи дополнительного сетевого трафика.
8. IME клавиатур часто имеют облачные функции, что расширяет их функциональность.
9. Предыдущее исследование Citizen Lab обнаружило серьезные криптографические недостатки в приложении Sogou Pinyin Method компании Tencent.
10. Уязвимые приложения включают Tencent QQ Pinyin, Baidu IME, iFlytek IME для Android, Samsung Keyboard на Android, а также предустановленные клавиатурные приложения на устройствах Xiaomi, OPPO, Vivo и Honor.
11. Китайские разработчики приложений менее склонны к использованию западных криптографических стандартов из-за опасений, что они могут содержать бэкдоры.
12. После уведомления разработчиков большинство из них устранили баги, но специалисты Honor и Tencent все еще работают над патчами.Thank you for reading this post, don't forget to subscribe!
Тема: Уязвимости в популярных клавиатурах для смартфонов.
Подготовленный общий черновик для статьи:
1. Специалисты Citizen Lab выявили уязвимости в популярных клавиатурных приложениях, которые позволяют видеть, что набирает пользователь.
2. Уязвимости могут использоваться для регистраций нажатий клавиш китайских пользователей по всему миру.
3. Проблемы с безопасностью присутствуют практически во всех приложениях, включая те, что предустановлены на Android устройствах в Китае.
4. Исследователи проанализировали версии клавиатурных приложений для Android, iOS и Windows от Tencent, Baidu, iFlytek, Sogou, Samsung, Huawei, Xiaomi, OPPO, Vivo и Honor.
5. Клавиатурные приложения Baidu, Tencent, iFlytek и Sogou используются для более удобного ввода китайских символов, но многие из них не защищают передаваемые данные должным образом.
6. Отсутствие защиты TLS (Transport Layer Security) является особенно тревожным, так как это позволяет перех
Уязвимости в облачных приложениях пиньинь клавиатур позволяют злоумышленникам перехватывать нажатия клавиш и получать доступ к конфиденциальной информации пользователей. Это означает, что злоумышленник может узнать пароли, личные сообщения и другую важную информацию, которую пользователь вводит на своем смартфоне. Уязвимости затрагивают около миллиарда пользователей, поэтому это серьезная проблема, которую нужно решить.
Исследователи Citizen Lab проанализировали приложения различных производителей и выявили, что 95% рынка пиньинь клавиатур используют уязвимые IME от Sogou, Baidu и iFlytek. Уязвимости позволяют расшифровывать нажатые клавиши без передачи дополнительного сетевого трафика. Это означает, что злоумышленник может получить доступ к введенной пользователем информации даже без подключения к интернету.
Особенно тревожным является то, что некоторые из уязвимых приложений имеют облачные функции, что расширяет их функциональность. Например, предыдущее исследование Citizen Lab обнаружило серьезные криптографические недостатки в приложении Sogou Pinyin Method компании Tencent. Это означает, что уязвимости в приложениях пиньинь клавиатур могут быть использованы для массового мониторинга нажатий клавиш и серьезного нарушения приватности пользователей.
После обнаружения уязвимостей, большинство разработчиков приложений выпустили патчи, чтобы устранить эти проблемы. Однако, специалисты Honor и Tencent все еще работают над исправлениями. В свете этого открытия, пользователи должны быть внимательны и обновлять свои приложения, чтобы минимизировать риск.
Conclusion:
Уязвимости в облачных приложениях пиньинь клавиатур представляют серьезную угрозу для приватности пользователей. Обнаружение этих уязвимостей в восьми из девяти приложений вызывает тревогу, поскольку миллиард пользователей может быть подвержено риску. Разработчики приложений должны принять меры для обеспечения