Miliarda užívateľov je ohrozená kritickou bezpečnostnou slabinou: Tieto aplikácie radšej nepoužívajte
Bezpečnostní experti zistili, že najpoužívanejšie aplikácie na písanie v čínskom jazyku majú slabinu, ktorá umožňuje nielen hackerom vidieť, čo ste napísali.
Bezpečnostní experti z University of Toronto v rámci výskumu odhalili kritické bezpečnostné slabiny pre aplikácie, ktoré umožňujú písanie v takzvaných logografických jazykoch, akým je napríklad čínština.
Písanie v takýchto jazykoch býva častokrát náročnejšie ako písanie v klasickom alfabetickom jazyku, kde písmeno reprezentuje jedna klávesnica. Existujú totiž desiatky tisíc čínskych znakov, ktoré sa nedokážu zmestiť na jednu klávesnicu. Preto sa používajú špeciálne klávesnice s technológiou IME (Input Method Editor). Táto technológia dovoľuje písanie čínskych znakov pomocou rukopisu, hlasu alebo pomocou metódy pinyin.
Vedci si všimli, že kritickú bezpečnostnú slabinu obsahujú IME editory ponúkajúce pinyin metódu písania čínskych znakov. Ide o aplikácie, ktoré dovoľujú užívateľom písať čínske znaky jednoducho a rýchlo. Rozdiel medzi bežnými a IME zariadeniami je, že bežná klávesnica operuje lokálne, teda len v rámci zariadenia užívateľa. IME aplikácie ponúkajú cloudové služby, ktoré zlepšujú ich funkciu.
To dosiahnu napríklad tak, že predpovedajú, aké znaky môže užívateľ napísať ako ďalšie. Viacerí experti už postrehli, že takéto cloudové klávesnice môžu slúžiť na monitorovanie a správajú sa ako keylogger malvér.
Keylogger je škodlivý softvér, ktorý zaznamenáva stlačenia klávesnice a dovoľuje útočníkom sledovať, čo infikovaný počítač napíše. Bezpečnostní experti dodávajú, že v prípade IME aplikácií nejde len o sledovanie zo strany servera. Ak je cloudová služba slabo zabezpečená, napadnúť ju môžu aj hackeri.
Neprehliadnite
Najpoužívanejšie aplikácie majú vážne slabiny
Vedci sa lepšie pozreli na deväť spoločností, ktoré ponúkajú cloudové pinyin aplikácie. Sú nimi Baidu, Honor, Huawei, iFlytek, OPPO, Samsung, Tencent, Vivo a Xiaomi. Vedci si všimli kritické bezpečnostné slabiny v prípade ôsmich z deviatich predajcov. Jediným predajcom bez slabiny bola spoločnosť Huawei. Slabiny dovoľujú útočníkom odhaliť všetko, čo napísali.
“Odhadujeme, že slabiny ohrozujú približne miliardu užívateľov,” upozorňujú vedci.
Vidieť čo užívatelia píšu môže zaujímať niekoľko typov aktérov, vrátane vládnych špionážnych inštitúcií, ktoré operujú na globálnej škále. Dostať sa môžu k citlivým osobným informáciám, kontaktom osôb, finančným údajom, prihlasovacím údajom, či správam, ktoré sú v odlišnom prípade šifrované. Už v minulosti vyšlo na povrch, že viaceré aplikácie v Číne slúžili na masové monitorovanie ľudu. Čína viackrát bola podozrivá zo sledovacích aktivít na svojom území, či už prostredníctvom aplikácií alebo cez iné metódy.
Bezpečnostní experti kontaktovali ohrozené spoločnosti. Väčšina zobrala túto situáciu vážne a slabiny opravila. Niektoré aplikácie ale ostávajú aj naďalej ohrozené. Bezpečnostní experti radia, aby si užívatelia udržiavali aplikácie aktualizované. Zároveň upozorňujú, že je lepšie, ak aplikácie ponúkajúce pokročilé funkcie klávesnice ostanú operovať len v zariadení. Cloudové služby predstavujú v tomto smere riziko a ak sa užívatelia obávajú o svoje súkromie, podobným aplikáciám sa treba vyhnúť.
Komentáre