Skoro svaka kineska aplikacija za tastaturu ima bezbednosni propust koji otkriva šta korisnici kucaju

N. M.
Vreme čitanja: oko 2 min.

Jedini uređaj bez ove bezbednosne ranjivosti bio je pametni telefon koji je proizveo Huawei

Foto: Pixabay

Istraživači iz Citizen Lab-a, laboratorije za tehnologiju i bezbednost povezane sa Univerzitetom u Torontu, otkrili su da gotovo sve aplikacije za tastaturu koje koriste Kinezi širom sveta imaju bezbednosnu ranjivost koja omogućava špijuniranje unosa sa tastature. Ova ranjivost, koja postoji već godinama, omogućava presretanje podataka o pritiscima na tastere dok se prenose u oblak.

Četiri najpopularnije aplikacije, razvijene od strane velikih internet kompanija poput Baidu, Tencent i iFlytek, dominiraju tržištem i pokrivaju gotovo sve metode kucanja koje koriste Kinezi. Istraživači su analizirali i aplikacije koje dolaze unapred instalirane na Android telefonima prodavanim u Kini, te su otkrili da skoro sve aplikacije trećih strana i telefoni sa unapred instaliranim tastaturama nisu adekvatno štitili korisnike.

Jedini uređaj bez ove bezbednosne ranjivosti bio je pametni telefon koji je proizveo Huawei. Sogou, jedna od najpopularnijih aplikacija za tastaturu, nije koristila Transport Layer Security (TLS) prilikom slanja podataka o pritiscima na tastere na svoj oblak, što je otkriveno u avgustu 2023. Bez TLS-a, koji štiti od poznatih ranjivosti u enkripciji, pritisci na tastere mogu se prikupljati i dešifrovati od strane trećih lica, objašnjava MIT Technology Review.

Džefri Nokel, viši istraživački saradnik u Citizen Lab-u, rekao je: "Kada smo otkrili ovaj problem kod jedne aplikacije, pretpostavili smo da bi i druge mogle da imaju slične probleme. Nažalost, bili smo u pravu."

Iako je Sogou ispravila problem nakon što je on javno objavljen prošle godine, neke Sogou tastature unapred instalirane na telefonima nisu ažurirane na najnoviju verziju, pa su i dalje podložne prisluškivanju.

Mona Veng, doktorand iz oblasti računarskih nauka na Univerzitetu u Prinstonu i koautor izveštaja, izjavila je: "Za nekoga ko takođe koristi ove tastature, ovo je bilo apsolutno šokantno."

Ova masovna ranjivost nije teška za iskorištavanje, što znači da je potencijalno već iskorišćena od strane hakera, iako nema dokaza o tome. Džededaja Krendal, vanredni profesor za sigurnost i kriptografiju na Univerzitetu Arizona State, koji je konsultovan pri pisanju izveštaja, izjavio je da su ranjivosti "toliko daleko iza modernih najboljih praksi" da je vrlo lako dešifrovati šta ljudi kucaju.

Istraživači su kontaktirali kompanije koje su razvile ove aplikacije za tastaturu, nakon čega su većina ranjivosti ispravljene. Međutim, neke kompanije nisu odgovorile, pa ranjivost i dalje postoji u nekim aplikacijama i telefonima, uključujući QQ Pinyin i Baidu, kao i u bilo kojoj aplikaciji za tastaturu koja nije ažurirana na najnoviju verziju.

(Telegraf.rs)