Kullanıcıların Android, iOS veya diğer mobil cihazlarına Çince karakterler girmesine olanak tanıyan neredeyse tüm klavye uygulamaları, bir saldırganın tuş vuruşlarının tamamını ele geçirmesine olanak tanıyan saldırılara karşı savunmasızdır.
Toronto Üniversitesi Citizen Lab tarafından yapılan yeni bir araştırma, oturum açma kimlik bilgileri, finansal bilgiler ve normalde uçtan uca şifrelenecek olan mesajların da dahil olduğunu ortaya çıkardı.
Her Yerde Sorun
İçin çalışmakLaboratuvardaki araştırmacılar, Çin’deki kullanıcılara satış yapan dokuz satıcının bulut tabanlı Pinyin uygulamalarını (Çince karakterleri Latin harfleriyle yazılan kelimelere dönüştüren) değerlendirdi: Baidu, Samsung, Huawei, Tencent, Xiaomi, Vivo, OPPO, iFlytek ve Honor . Araştırmaları, Huawei’nin uygulaması dışındaki tüm uygulamaların, tuş vuruşu verilerini buluta, pasif bir dinleyicinin içeriği açık metin olarak ve çok az zorlukla okumasını sağlayacak şekilde aktardığını gösterdi. Yıllar boyunca birden fazla siber casusluğu ortaya çıkarma konusunda itibar kazanan Citizen Lab araştırmacıları, gözetim ve diğer tehditler Mobil kullanıcıları ve sivil toplumu hedef alan bu güvenlik önlemlerinin her birinin, kullanıcı tuş vuruşlarının buluta aktarımını nasıl ele aldıklarına ilişkin en az bir istismar edilebilir güvenlik açığı içerdiği belirtildi.
Citizen Lab araştırmacıları Jeffrey Knockel, Mona Wang ve Zoe Reichert, bu hafta bulgularını özetleyen bir raporda güvenlik açıklarının kapsamının hafife alınmaması gerektiğini yazdı: Citizen Lab’den araştırmacılar, Çin ana karasındaki klavye uygulaması kullanıcılarının %76’sının aslında, Çince karakterleri girmek için Pinyin klavyesini kullanın.
Araştırmacılar, “Bu raporda ele aldığımız tüm güvenlik açıklarından, herhangi bir ek ağ trafiği gönderilmeden tamamen pasif bir şekilde yararlanılabilir” dedi. Ayrıca, güvenlik açıklarının keşfedilmesinin kolay olduğunu ve yararlanmak için herhangi bir teknolojik gelişmişlik gerektirmediğini de belirttiler. “Bu nedenle, bu güvenlik açıklarının aktif olarak kitlesel sömürü altında olup olmadığını merak edebiliriz?”
Citizen Lab’in incelediği savunmasız Pinyin klavye uygulamalarının her biri, uzun hece dizilerini ve özellikle karmaşık karakterleri işlemek için hem yerel, cihaz içi bir bileşene hem de bulut tabanlı bir tahmin hizmetine sahipti. İnceledikleri dokuz uygulamadan üçü mobil yazılım geliştiricilerine aitti: Tencent, Baidu ve iFlytek. Geriye kalan beşi, tamamı mobil cihaz üreticileri olan Samsung, Xiaomi, OPPO, Vivo ve Honor’un ya kendi başlarına geliştirdikleri ya da üçüncü taraf bir geliştiriciden cihazlarına entegre ettikleri uygulamalardı.
Aktif ve Pasif Yöntemlerle Suistimal Edilebilir
Yararlanma yöntemleri her uygulama için farklılık gösterir. Örneğin Tencent’in Android ve Windows için QQ Pinyin uygulamasında, araştırmacıların aktif dinleme yöntemleri aracılığıyla tuş vuruşlarının şifresini çözmek için çalışan bir istismar oluşturmasına olanak tanıyan bir güvenlik açığı vardı. Baidu’nun Windows için IME’si de benzer bir güvenlik açığı içeriyordu; Citizen Lab, hem aktif hem de pasif dinleme yöntemleri yoluyla tuş vuruşu verilerinin şifresini çözmek için çalışan bir açıktan yararlandı.
Araştırmacılar, Baidu’nun iOS ve Android sürümlerinde şifrelenmiş diğer gizlilik ve güvenlik zayıflıklarını buldu ancak bunlar için açıklardan yararlanma geliştirmediler. iFlytek’in Android uygulamasında, pasif bir kulak misafirinin, yetersiz veri aktarımı nedeniyle düz metin klavye aktarımlarını kurtarmasına izin veren bir güvenlik açığı vardı. mobil şifreleme.
Donanım satıcısı tarafında, Samsung’un kendi geliştirdiği klavye uygulaması hiçbir şifreleme sunmuyor ve bunun yerine tuş vuruşlarını net bir şekilde gönderiyordu. Samsung ayrıca kullanıcılara cihazlarında Tencent’in Sogou uygulamasını veya Baidu’dan bir uygulamayı kullanma seçeneği sunuyor. Citizen Lab, iki uygulamadan Baidu’nun klavye uygulamasının saldırıya açık olduğunu belirledi.
Araştırmacılar, Vivo’nun dahili olarak geliştirilen Pinyin klavye uygulamasında herhangi bir sorun tespit edemediler ancak Vivo’nun cihazlarında da bulunan bir Tencent uygulamasında keşfettikleri bir güvenlik açığından yararlanan bir güvenlik açığı buldular.
Diğer mobil cihaz üreticilerinin cihazlarında bulunan üçüncü taraf Pinyin uygulamalarının (Baidu, Tencent ve iFlytek’ten) hepsinde de istismar edilebilir güvenlik açıkları vardı.
Bunların nadir görülen sorunlar olmadığı ortaya çıktı. Geçtiğimiz yıl Citizen Labs, Çin’de yaklaşık 450 milyon kişi tarafından kullanılan Tencent’in Sogou’sunda ayrı bir araştırma yürüttü ve tuş vuruşlarını gizli dinleme saldırılarına maruz bırakan güvenlik açıkları buldu.
Citizen Lab, “Bunda keşfedilen güvenlik açıklarını ve Sogou’nun klavye uygulamalarını analiz eden önceki raporumuz birleştirildiğinde, bir milyara kadar kullanıcının bu güvenlik açıklarından etkilendiğini tahmin ediyoruz” dedi.
Güvenlik açıkları kitlesel gözetimi etkinleştir Citizen Lab, Beş Göz olarak adlandırılan ülkelere (ABD, İngiltere, Kanada, Avustralya ve Yeni Zelanda) ait sinyal istihbarat servisleri de dahil olmak üzere Çinli mobil cihaz kullanıcılarının yüzde 30’unun; Raporda, Citizen Lab’in yeni araştırmasında keşfettiği klavye uygulamalarındaki güvenlik açıklarının, bu ülkelerdeki istihbarat teşkilatlarının gözetleme amacıyla kullandığı, Çin tarafından geliştirilen UC tarayıcısındaki güvenlik açıklarına çok benzediği belirtildi.