Citizen Lab, bulut tabanlı pinyin klavye uygulamalarının güvenliğini araştırdı ve dokuz satıcıdan sekizinin kullanıcı tuş vuruşlarını güvensiz bir şekilde ilettiğini tespit etti. Bu, tuş vuruşlarının ağdaki dinleyiciler tarafından ele geçirilebileceği anlamına gelir.
Citizen Lab tarafından hazırlanan yeni bir rapor, popüler klavye uygulamalarındaki kritik güvenlik açıklarını ortaya çıkardı ve bu açıkların neredeyse bir milyar kullanıcının tuş vuruşlarını gizlice dinleyenlerin eline geçirme potansiyeli taşıdığını ortaya çıkardı.
“O kadar sessiz olmayan tür: Klavye uygulamalarındaki güvenlik açıkları, ağ dinleyicilerinin tuş vuruşlarını açığa çıkarıyor” başlıklı rapor, Çin’deki Android cihazların büyük çoğunluğunda kullanılan bulut tabanlı pinyin giriş yöntemi düzenleyicilerini (IME’ler) araştırıyor.
Araştırmacılar dokuz büyük satıcının klavye uygulamalarını analiz etti: Baidu, Honor, Huawei, iFlytek, OPPO, Samsung, Tencent, Vivo ve Xiaomi. Endişe verici bir şekilde, bu uygulamaların sekizinde, saldırganların kullanıcıların yazarken tuş vuruşlarını çalmasına olanak verebilecek güvenlik açıkları buldular.
Raporda, bu uygulamaların veri aktarımındaki çeşitli zayıflıklar ayrıntılarıyla anlatılıyor. Samsung Klavye gibi bazı uygulamalar, tuş vuruşlarını tamamen şifrelenmemiş olarak göndererek, ağı gözetleyen herkesin bunları yakalamasını kolaylaştırır. Diğerleri ise kırılabilecek kusurlu şifreleme yöntemlerine güveniyor.
Gizlice dinlemenin kolaylığı uygulamaya bağlı olarak değişir. Bazı durumlarda aynı Wi-Fi ağındaki kötü niyetli bir aktör verilerinizi çalabilir. Daha da endişe verici olanı, bazı güvenlik açıklarının, kullanıcının herhangi bir etkileşimine ihtiyaç duymadan verilere müdahale edebilen tamamen pasif dinleyiciler tarafından istismar edilebilmesidir.
Raporda, klavye uygulamasında bu güvenlik açıklarını göstermeyen tek satıcının Huawei olduğu vurgulanıyor. Bu, Huawei kullanıcılarına bir miktar gönül rahatlığı sağlıyor ancak önemli sayıda kullanıcıyı potansiyel olarak açığa çıkarıyor.
Citizen Lab, Baidu, Sogou (Citizen Lab tarafından hazırlanan önceki bir raporda bahsedilmişti) ve iFlytek’in toplam pazar payının Çin’deki üçüncü taraf IME pazarının %95’inden fazlasını temsil ettiğini ve bunun da yaklaşık bir milyar kullanıcının risk altında olduğu anlamına geldiğini tahmin ediyor.
Bu güvenlik açığının ciddi sonuçları var. Tuş vuruşları şifreler, kredi kartı bilgileri ve özel mesajlar gibi hassas bilgiler içerebilir. Bu veriler ele geçirilirse kimlik hırsızlığı, mali dolandırıcılık ve diğer kötü amaçlı faaliyetler için kullanılabilir.
Bununla birlikte rapor, güvenli klavye uygulamaları kullanmanın önemini gösteriyor. Kullanıcılar, güvenlik açısından güçlü bir üne sahip olan ve kullanıcı verilerini doğru şekilde şifreleyen uygulamalara öncelik vermelidir. Ayrıca, halka açık Wi-Fi ağlarında hassas bilgilerin kullanılmasından kaçınılması önerilir.
Araştırmacılar, uygulama geliştiricilerini, güçlü şifreleme yöntemleri ve güvenli veri aktarım protokolleri uygulayarak bu güvenlik açıklarını derhal gidermeye çağırıyor.
İLGİLİ KONULAR
- Yapay Zeka Modeli Yazmayı Dinleyerek Hassas Verilerin Riskini Alıyor
- 31 milyon kaydın internete sızdırılmasının ardından kullanıcı verilerini toplayan klavye uygulaması
- Intel, kusurlarını düzeltmek yerine uzak Android klavye uygulamasını kaldırıyor
- Çinli Klavye Geliştiricisi Dahili Keylogger Aracılığıyla Kullanıcıları Gözetliyor
- Android Emoji klavye uygulaması izinsiz satın alımlarla milyonlar kazanıyor