Почти миллиард пользователей мобильных устройств, владеющих разными устройствами, могли раскрыть свои коммуникации злоумышленникам, утверждает отчет исследователей кибербезопасности Citizen Lab. Источником утечек стали встроенные клавиатуры некоторых марок смартфонов. Под угрозой оказалась конфиденциальность почти миллиарда пользователей смартфонов.
В отчете говорится, что разные производители устройств использовали разные приложения для клавиатуры, которые ретранслировали незашифрованные коммуникации, передавали нажатие клавиш в виде открытого текста и т.п. Tencent QQ Pinyin, Baidu IME, iFlytek IME, Samsung Keyboard на Android, Xiaomi (с приложениями клавиатуры от Baidu, iFlytek и Sogou), OPPO, Vivo, Honor, все они позволяли потенциальным злоумышленникам расшифровывать нажатия клавиш китайских мобильных пользователей, пользователям не нужно отправлять дополнительный сетевой трафик.
Команда говорит, что считает, что приложения для клавиатуры, найденные на этих устройствах, раскрывали содержимое нажатия клавиш во время передачи.
По словам исследователей, единственным производителем, чье приложение клавиатуры было безопасным, является Huawei. Что касается Apple и Google, то ни одна программа не имеет функции передачи нажатий клавиш на облачные серверы для облачного общения, что сделало невозможным анализ клавиатур на предмет безопасности этой функции.
«Мы заметили, что ни одно из проанализированных мы мобильных устройств также не имело предварительно установленной клавиатуры Google, Gboard», — утверждают исследователи.
Исследователи сообщили свои выводы производителям и говорят, что на 1 апреля почти все решали свои проблемы. Только Honor и Tencent (QQ Pinyin) все еще остаются в процессе.
Чтобы защититься от потенциальных перехватчиков, пользователи должны постоянно обновлять свои приложения и мобильные операционные системы, а также использовать клавиатуру, работающую исключительно на устройстве без передачи данных в интернет. С другой стороны, разработчикам рекомендуется использовать хорошо проверенные и стандартные протоколы шифрования вместо создания собственных потенциально уязвимых версий,