Майже мільярд користувачів мобільних пристроїв, які володіють різними пристроями, могли розкрити свої комунікації зловмисникам, стверджує звіт дослідників кібербезпеки Citizen Lab. Джерелом витоків стали вбудовані клавіатури деяких марок смартфонів. Під загрозою опинилася приватність майже мільярда користувачів смартфонів.
У звіті йдеться, що різні виробники пристроїв використовували різні додатки для клавіатури, які ретранслювали незашифровані комунікації, передавали натискання клавіш у вигляді відкритого тексту тощо. Tencent QQ Pinyin, Baidu IME, iFlytek IME, Samsung Keyboard на Android, Xiaomi (з додатками клавіатури від Baidu, iFlytek і Sogou), OPPO, Vivo, Honor, усі вони дозволяли потенційним зловмисникам розшифровувати натискання клавіш китайських мобільних користувачів, повністю пасивно, і користувачам не потрібно надсилати додатковий мережевий трафік.
Команда каже, що вважає, що додатки для клавіатури, знайдені на цих пристроях, розкривали вміст натискань клавіш під час передачі.
За словами дослідників, єдиним виробником, чий додаток клавіатури був безпечним, є Huawei. Що стосується Apple і Google , то жодна програма не має функції передачі натискань клавіш на хмарні сервери для хмарного спілкування, що унеможливило аналіз клавіатур на предмет безпеки цієї функції.
«Ми помітили, що жоден із мобільних пристроїв, які ми проаналізували, також не мав попередньо встановленої клавіатури Google, Gboard», — стверджують дослідники.
Дослідники повідомили свої висновки виробникам і кажуть, що станом на 1 квітня майже всі вирішували свої проблеми. Лише Honor і Tencent (QQ Pinyin) все ще залишаються в процесі.
Щоб захиститися від потенційних перехоплювачів , користувачі повинні постійно оновлювати свої програми та мобільні операційні системи , а також використовувати клавіатуру, яка працює виключно на пристрої без пересилання даних в інтернет. З іншого боку, розробникам рекомендується використовувати добре перевірені та стандартні протоколи шифрування замість створення власних, потенційно вразливих версій,