П’ятниця, 22 Листопада, 2024

Вбудовані клавіатури смартфонів Samsung, Xiaomi, OPPO, Vivo, Honor, можливо, пересилали кожне натиснення

Майже мільярд користувачів мобільних пристроїв, які володіють різними пристроями, могли розкрити свої комунікації зловмисникам, стверджує звіт дослідників кібербезпеки Citizen Lab. Джерелом витоків стали вбудовані клавіатури деяких марок смартфонів. Під загрозою опинилася приватність майже мільярда користувачів смартфонів.

У звіті йдеться, що різні виробники пристроїв використовували різні додатки для клавіатури, які ретранслювали незашифровані комунікації, передавали натискання клавіш у вигляді відкритого тексту тощо. Tencent QQ Pinyin, Baidu IME, iFlytek IME, Samsung Keyboard на Android, Xiaomi (з додатками клавіатури від Baidu, iFlytek і Sogou), OPPO, Vivo, Honor, усі вони дозволяли потенційним зловмисникам розшифровувати натискання клавіш китайських мобільних користувачів, повністю пасивно, і користувачам не потрібно надсилати додатковий мережевий трафік.

Команда каже, що вважає, що додатки для клавіатури, знайдені на цих пристроях, розкривали вміст натискань клавіш під час передачі.

За словами дослідників, єдиним виробником, чий додаток клавіатури був безпечним, є Huawei. Що стосується Apple і Google , то жодна програма не має функції передачі натискань клавіш на хмарні сервери для хмарного спілкування, що унеможливило аналіз клавіатур на предмет безпеки цієї функції.

«Ми помітили, що жоден із мобільних пристроїв, які ми проаналізували, також не мав попередньо встановленої клавіатури Google, Gboard», — стверджують дослідники.

Дослідники повідомили свої висновки виробникам і кажуть, що станом на 1 квітня майже всі вирішували свої проблеми. Лише Honor і Tencent (QQ Pinyin) все ще залишаються в процесі.

Щоб захиститися від потенційних перехоплювачів , користувачі повинні постійно оновлювати свої програми та мобільні операційні системи , а також використовувати клавіатуру, яка працює виключно на пристрої без пересилання даних в інтернет. З іншого боку, розробникам рекомендується використовувати добре перевірені та стандартні протоколи шифрування замість створення власних, потенційно вразливих версій,

 

НАПИСАТИ ВІДПОВІДЬ

Коментуйте, будь-ласка!
Будь ласка введіть ваше ім'я

Євген
Євген
Євген пише для TechToday з 2012 року. Інженер за освітою. Захоплюється реставрацією старих автомобілів.

Vodafone

Залишайтеся з нами

10,052Фанитак
1,445Послідовникислідувати
105Абонентипідписуватися