Vulnerabilidades de segurança descobertas em aplicativos de teclado pinyin baseados em nuvem podem ser exploradas para revelar as teclas digitadas pelos usuários a atores nefastos.
As descobertas vêm do Citizen Lab, que descobriu pontos fracos em oito dos nove aplicativos de fornecedores como Baidu, Honor, iFlytek, OPPO, Samsung, Tencent, Vivo e Xiaomi. O único fornecedor cujo aplicativo de teclado não apresentava falhas de segurança é o da Huawei.
As vulnerabilidades poderiam ser exploradas para “revelar completamente o conteúdo das teclas digitadas pelos usuários em trânsito”, disseram os pesquisadores Jeffrey Knockel, Mona Wang e Zoë Reichert.
A divulgação baseia-se em pesquisas anteriores do laboratório interdisciplinar da Universidade de Toronto, que identificou falhas criptográficas no método de entrada Sogou da Tencent em agosto passado.
Coletivamente, estima-se que cerca de um bilhão de usuários sejam afetados por essa classe de vulnerabilidades, com os Enter Technique Editors (IMEs) da Sogou, Baidu e iFlytek representando uma grande fatia da participação de mercado.
Um resumo dos problemas identificados é o seguinte –
- Tencent QQ Pinyin, que é vulnerável a um ataque oracle de preenchimento CBC que pode tornar possível a recuperação de texto simples
- Baidu IME, que permite que bisbilhoteiros de rede descriptografem transmissões de rede e extraiam o texto digitado no Home windows devido a um bug no protocolo de criptografia BAIDUv3.1
- iFlytek IME, cujo aplicativo Android permite que bisbilhoteiros de rede recuperem o texto simples de transmissões de rede insuficientemente criptografadas
- Teclado Samsung no Android, que transmite dados de pressionamento de tecla through HTTP simples e não criptografado
- Xiaomi, que vem pré-instalado com aplicativos de teclado do Baidu, iFlytek e Sogou (e, portanto, suscetível às mesmas falhas mencionadas)
- OPPO, que vem pré-instalado com aplicativos de teclado do Baidu e Sogou (e, portanto, suscetível às mesmas falhas mencionadas)
- Vivo, que vem pré-instalado com Sogou IME (e portanto suscetível à mesma falha mencionada)
- Honor, que vem pré-instalado com o Baidu IME (e, portanto, suscetível à mesma falha mencionada)
A exploração bem-sucedida dessas vulnerabilidades poderia permitir que adversários descriptografassem as teclas digitadas pelos usuários móveis chineses de forma totalmente passiva, sem enviar qualquer tráfego de rede adicional. Após divulgação responsável, todos os desenvolvedores de aplicativos de teclado, com exceção de Honor e Tencent (QQ Pinyin), resolveram os problemas a partir de 1º de abril de 2024.
Os usuários são aconselhados a manter seus aplicativos e sistemas operacionais atualizados e mudar para um aplicativo de teclado que funcione inteiramente no dispositivo para mitigar esses problemas de privacidade.
Outras recomendações pedem que os desenvolvedores de aplicativos usem protocolos de criptografia padrão e bem testados, em vez de desenvolver versões internas que possam ter problemas de segurança. Os operadores de lojas de aplicativos também foram instados a não bloquear geograficamente as atualizações de segurança e permitir que os desenvolvedores atestem que todos os dados são transmitidos com criptografia.
O Citizen Lab teorizou que é possível que os desenvolvedores de aplicativos chineses estejam menos inclinados a usar padrões criptográficos “ocidentais” devido a preocupações de que eles possam conter backdoors próprios, levando-os a desenvolver cifras internas.
“Dado o escopo dessas vulnerabilidades, a sensibilidade do que os usuários digitam em seus dispositivos, a facilidade com que essas vulnerabilidades podem ter sido descobertas e que os Cinco Olhos já exploraram vulnerabilidades semelhantes em aplicativos chineses para vigilância, é possível que tal as teclas digitadas pelos usuários também podem estar sob vigilância em massa”, disseram os pesquisadores.
