Bulut tabanlı pinyin klavye uygulamalarında ortaya çıkan güvenlik açıkları, kullanıcıların tuş vuruşlarını hain aktörlere ifşa etmek için kullanılabilir.
Bulgular, Baidu, Honor, iFlytek, OPPO, Samsung, Tencent, Vivo ve Xiaomi gibi satıcıların dokuz uygulamasından sekizinde zayıf noktalar keşfeden Citizen Lab’den geliyor. Klavye uygulamasında herhangi bir güvenlik açığı bulunmayan tek satıcı Huawei’ninkidir.
Araştırmacılar Jeffrey Knockel, Mona Wang ve Zoë Reichert, güvenlik açıklarından “kullanıcıların geçiş sırasındaki tuş vuruşlarının içeriğini tamamen ortaya çıkarmak” için yararlanılabileceğini söyledi.
Açıklama, Toronto Üniversitesi merkezli disiplinler arası laboratuvarın geçen Ağustos ayında Tencent’in Sogou Giriş Yöntemi’ndeki kriptografik kusurları tespit eden önceki araştırmalarına dayanıyor.
Toplu olarak, bir milyara yakın kullanıcının bu güvenlik açıklarından etkilendiği tahmin ediliyor; Sogou, Baidu ve iFlytek’in Giriş Yöntemi Düzenleyicileri (IME’ler) pazar payının büyük bir kısmını oluşturuyor.
Belirlenen sorunların özeti aşağıdaki gibidir:
- Düz metnin kurtarılmasını mümkün kılabilecek bir CBC dolgu oracle saldırısına karşı savunmasız olan Tencent QQ Pinyin
- BAIDUv3.1 şifreleme protokolündeki bir hata nedeniyle ağ dinleyicilerinin ağ iletimlerinin şifresini çözmesine ve yazılan metni Windows’ta çıkarmasına olanak tanıyan Baidu IME
- Android uygulaması ağ dinleyicilerinin yeterince şifrelenmemiş ağ iletimlerinin düz metnini kurtarmasına olanak tanıyan iFlytek IME
- Tuş vuruşu verilerini düz, şifrelenmemiş HTTP yoluyla ileten Android’deki Samsung Klavye
- Baidu, iFlytek ve Sogou’nun klavye uygulamaları önceden yüklenmiş olarak gelen Xiaomi (ve dolayısıyla yukarıda belirtilen kusurlara karşı hassastır)
- Baidu ve Sogou’nun klavye uygulamaları önceden yüklenmiş olarak gelen OPPO (ve dolayısıyla yukarıda belirtilen aynı kusurlara karşı hassastır)
- Sogou IME önceden yüklenmiş olarak gelen Vivo (ve dolayısıyla yukarıda belirtilen aynı kusura karşı hassastır)
- Baidu IME ile önceden yüklenmiş olarak gelen Honor (ve dolayısıyla yukarıda belirtilen aynı kusura karşı hassastır)
Bu güvenlik açıklarının başarılı bir şekilde kullanılması, saldırganların Çinli mobil kullanıcıların tuş vuruşlarının şifresini herhangi bir ek ağ trafiği göndermeden tamamen pasif bir şekilde çözmesine olanak tanıyabilir. Sorumlu açıklamanın ardından Honor ve Tencent (QQ Pinyin) dışındaki tüm klavye uygulaması geliştiricileri, 1 Nisan 2024 itibarıyla sorunları ele aldı.
Bu gizlilik sorunlarını azaltmak için kullanıcılara uygulamalarını ve işletim sistemlerini güncel tutmaları ve tamamen cihaz üzerinde çalışan bir klavye uygulamasına geçmeleri tavsiye ediliyor.
Diğer öneriler, uygulama geliştiricilerini, güvenlik sorunları yaratabilecek kendi kendine geliştirilmiş sürümler geliştirmek yerine, iyi test edilmiş ve standart şifreleme protokollerini kullanmaya çağırıyor. Uygulama mağazası operatörlerine ayrıca güvenlik güncellemelerini coğrafi olarak engellememeleri ve geliştiricilerin tüm verilerin şifrelemeyle aktarıldığını doğrulamalarına izin vermeleri istendi.
Citizen Lab, Çinli uygulama geliştiricilerin kendi arka kapılarını içerebilecekleri endişesi nedeniyle “Batılı” kriptografik standartları kullanmaya daha az eğilimli olmalarının mümkün olduğunu ve bunun da onları şirket içi şifreler geliştirmeye sevk ettiğini öne sürdü.
“Bu güvenlik açıklarının kapsamı, kullanıcıların cihazlarında yazdıklarının hassasiyeti, bu güvenlik açıklarının keşfedilme kolaylığı ve Five Eyes’ın daha önce Çin uygulamalarındaki gözetim amaçlı benzer güvenlik açıklarından yararlandığı göz önüne alındığında, bu tür güvenlik açıklarının tespit edilmesi mümkündür. Araştırmacılar, kullanıcıların tuş vuruşlarının da kitlesel gözetim altında olabileceğini söyledi.