Windows ve Android için yaygın olarak kullanılan bir Çince giriş uygulamasının, kötü niyetli bir araya giren kişinin kullanıcılar tarafından yazılan metni deşifre etmesine izin verebilecek ciddi güvenlik kusurlarına karşı savunmasız olduğu bulundu.
Kullanılan şifreleme mekanizmasının bir analizini gerçekleştiren Toronto Üniversitesi Citizen Lab’den elde edilen bulgular Tencent’in Sogou Giriş YöntemiWindows, Android ve iOS’ta aylık 455 milyondan fazla aktif kullanıcıya sahip bir uygulama.
Güvenlik açıkları, hizmetin özel şifreleme sistemi olan EncryptWall’dan kaynaklanır ve ağ dinleyicilerinin metin içeriğini çıkarmasına ve hassas verilere erişmesine olanak tanır.
“Sogou Giriş Yönteminin Windows ve Android sürümleri, bu şifreleme sisteminde, ağ dinleyicilerinin şifrelenmiş ağ iletimlerinin düz metnini kurtarmasına ve kullanıcıların yazdıkları da dahil olmak üzere hassas bilgileri açığa çıkarmasına olanak tanıyan bir CBC dolgu oracle saldırısına yönelik bir güvenlik açığı da dahil olmak üzere güvenlik açıkları içeriyor.” dedi araştırmacılar.
Şifre bloğu zincirlemenin kısaltması olan CBC, şifrelenmeden önce her düz metin bloğunun önceki şifreli metin bloğuyla XORlandığı bir kriptografik işlem modudur.
Bir blok şifresinin sabit boyutlu düz metin bloklarında çalıştığı göz önüne alındığında, alınan şifreli metnin şifresi çözüldüğünde geçerli bir dolguya sahip olup olmadığına ilişkin verileri sızdırmak için bir dolgu oracle saldırısı kullanılabilir. Bunu yaparken, bir tehdit aktörü, şifreleme anahtarını fiilen bilmeden bir mesajın şifresini çözebilir.
İlginç bir şekilde, Sogou Giriş Yöntemi’nin iOS sürümünün ağ dinlemelerine karşı güvenli olduğu bulundu, ancak EncryptWall uygulamasındaki şifreleme anahtarının ilk yarısının basit bir şekilde kurtarılabildiği ikinci bir kusur nedeniyle “en savunmasız” olurdu.
Sayıların kapsamının Çin’deki Çinli yazarlarla sınırlı olmadığını belirtmekte fayda var. Benzer Web’den alınan istatistikler, uygulamanın web sitesine yapılan ziyaretlerin – shurufa.sogou olduğunu gösteriyor[.]com – ayrıca ABD, Tayvan, Hong Kong ve Japonya’dan geliyor.
Mayıs ve Haziran 2023’teki sorumlu açıklamanın ardından, sorun Tencent tarafından geçen ayın sonlarında 13.7 (Windows), 11.26 (Android) ve 11.25 (iOS) sürümlerinde ele alındı.
Araştırmacılar Jeffrey Knockel, Zoë Reichert ve Mona Wang, “Bu güvenlik açığı, ‘homebrew’ kriptografi kullanmak yerine, her yerde kullanılabilirliğe ve güncel desteğe sahip ortak ve olgun bir şifreleme protokolü olan TLS’yi benimseyerek kolayca önlenebilirdi” dedi. .
“Hiçbir şifreleme protokolü mükemmel olmasa da, TLS uygulamaları, 2003’te CBC doldurma oracle saldırılarına karşı güvenlik açığını zaten iyileştirmişti.”