Araştırmacılar, büyük teknoloji devleri Samsung, OPPO, Vivo ve Xiaomi’nin uygulamaları da dahil olmak üzere yaygın olarak kullanılan birçok klavye uygulamasında kritik güvenlik açıklarını ortaya çıkardı.
Bu kusurlar, ağ dinleyicilerinin kullanıcının yaptığı her tuş vuruşunu yakalayıp deşifre etmesine olanak tanıyarak hassas kişisel ve finansal bilgilerin açığa çıkmasına neden olabilir.
Citizen Lab’ın kapsamlı çalışması, dokuz farklı satıcının bulut tabanlı pinyin klavye uygulamalarının güvenliğine odaklandı.
Analize Baidu, Honor, Huawei, iFlytek, OPPO, Samsung, Tencent, Vivo ve Xiaomi gibi popüler markalar dahil edildi.
Araştırmacılar, bu uygulamaların kullanıcıların tuş vuruşlarını nasıl ilettiğini titizlikle incelediler ve kötüye kullanılabilecek güvenlik açıklarını araştırdılar.
Ücretsiz Web Semineri | WAAP/WAF ROI Analizinde Uzmanlaşma | Yerinizi Ayırın
Bulgular endişe vericiydi: Dokuz satıcıdan sekizinin müdahaleye açık uygulamaları vardı.
Tuş Vuruşlarını Yakalama
Bu, bir saldırganın şifreler, kredi kartı numaraları, özel mesajlar ve daha fazlası dahil olmak üzere kullanıcının yazdığı her şeyi nispeten az çabayla potansiyel olarak ele geçirebileceği anlamına gelir.
Klavye uygulamasının bu tür güvenlik açıklarına sahip olmadığı tek satıcı Huawei oldu.
Citizen Lab’e göre, etkilenen klavye uygulamalarının popülerliği göz önüne alındığında, keşfedilen güvenlik açıkları dünya çapında bir milyara kadar kullanıcıyı etkileyebilir.
| SATICI | Uygulama ismi | Güvenlik Açığı Açıklaması | Potansiyel etki | Etkilenen Kullanıcı Tabanı |
|---|---|---|---|---|
| SAMSUNG | Samsung Klavye | Şifrelenmemiş veri iletimi | Tüm tuş vuruşlarına maruz kalma | Yüz milyonlarca |
| OPPO | OPPO Klavye | Zayıf şifreleme yöntemleri | Yazılan verilere kolay müdahale | On milyonlarca |
| Vivo | Vivo Klavye | Belirli senaryolarda şifreleme yok | Tuş vuruşlarına doğrudan erişim | On milyonlarca |
| Xiaomi | Xiaomi Klavye | Tutarsız şifreleme | Tuş vuruşlarına periyodik olarak maruz kalma | Yüz milyonlarca |
| Baidu | Baidu Klavye | Şifrelenmemiş veri iletimi | Yazılan bilgilere tam erişim | Yüz milyonlarca |
| Onur | Onur Klavyesi | Zayıf şifreleme yöntemleri | Hassas verilerin potansiyel şifre çözme | On milyonlarca |
| iFlytek | iFlytek Klavye | Belirli veri türleri için şifreleme yok | Şifrelerin ve özel mesajların açığa çıkması | Milyonlarca |
| Tencent | Tencent Klavye | Yetersiz güvenlik protokolleri | Ele geçirilebilir kişisel ve finansal veriler | Yüz milyonlarca |
| Huawei | Huawei Klavye | Hiçbir güvenlik açığı bulunamadı | Yok | Yok |
Bu güvenlik açıklarından yararlanma kolaylığı, klavye uygulamalarının bir cihazdaki en hassas bilgilerin bazılarını girmek için kullanılması nedeniyle onu önemli bir endişe kaynağı haline getiriyor.
Raporda bunun münferit bir sorun olmadığı da vurgulandı. Önceki analizler diğer Çin uygulamalarında da benzer güvenlik açıkları göstermişti ve bu tür zayıflıkların Beş Göz ittifakı da dahil olmak üzere istihbarat teşkilatları tarafından istismar edildiği durumlar yaşandı.
Güvenlik açıkları öncelikle tuş vuruşu verilerinin bulut sunucularına uygunsuz veya güvenli olmayan şekilde aktarılmasını içeriyor.
İdeal olarak şifrelenmiş olan bu veri iletimi, belirtilen durumlarda ya kötü uygulanmış ya da tamamen şifrelenmemiş gibi görünmektedir; bu da doğru araçlara ve ağa erişime sahip herkesin verilere kolayca müdahale etmesine olanak tanır.
Bu bulguların ışığında Citizen Lab, etkilenen tüm şirketleri bu güvenlik kusurlarını derhal gidermeye çağırdı.
Söz konusu klavye uygulamalarının kullanıcılarının, yamalar mevcut olur olmaz uygulamalarını güncellemeleri önerilir. Bu arada güvenliğe öncelik veren alternatif klavye uygulamalarına geçmek akıllıca olabilir.
Rapor zaten ilgili şirketlerin birçoğundan yanıt aldı. Samsung, OPPO, Vivo ve Xiaomi sorunu kabul etti ve güvenlik açıklarını gidermek için güncellemeler üzerinde çalıştıklarını duyurdular.
Citizenlab, Baidu, Vivo ve Xiaomi dışındaki şirketlerin açıklamalarımıza yanıt verdiğini söyledi.
Looking to Safeguard Your Company from Advanced Cyber Threats? Deploy TrustNet to Your Radar ASAP.