Блог компании Positive Technologies | Миллиард пользователей под угрозой из-за уязвимостей в Android-клавиатурах

Уязвимости в популярных клавиатурах для смартфонов позволяют видеть, что набирает пользователь.

Специалисты Citizen Lab выявили многочисленные уязвимости в популярных клавиатурных приложениях, которые могут использоваться для регистраций нажатий клавиш китайских пользователей по всему миру. Проблемы с безопасностью присутствуют практически во всех приложениях, включая те, что предустановлены на Android-устройствах в Китае.

Неожиданное открытие

Исследователи безопасности Citizen Lab как-то заметили, что китайское клавиатурное приложение Sogou отправляет данные без использования шифрования TLS (Transport Layer Security), которое позволяет предотвратить раскрытие данных в случае попадания к злоумышленникам.

Передача данных в открытом виде настолько поразила экспертов, что они решили выяснить, как обстоят дела с безопасностью у других клавиатурных приложений, которые используют китайские пользователи для более удобного ввода иероглифов.   

Детали исследования

Исследователи проанализировали версии клавиатурных приложений для Android, iOS и Windows от Tencent, Baidu, iFlytek, Sogou, Samsung, Huawei, Xiaomi, OPPO, Vivo и Honor. Первые четыре — Tencent, Baidu, iFlytek и Sogou — отдельные разработчики ПО для клавиатур, а остальные — Samsung, Huawei, Xiaomi, OPPO, Vivo и Honor — производители мобильных устройств, которые либо разработали собственные клавиатуры, либо предустановили одно или несколько приложений других трёх разработчиков на своих устройствах.

В ходе исследования выяснилось, что практически все изученные приложения имеют проблемы безопасности, а передаваемые данные должным образом не защищены. Единственным производителем, в чьем приложении не было найдено проблем, оказалась компания Huawei.

Масштабы бедствия

Исследователи предупреждают, что най­ден­ные уязвимости могут при­менять­ся для «пол­ного рас­кры­тия нажатых поль­зовате­лем кла­виш при переда­че». Сум­марно этот класс уяз­вимос­тей зат­рагива­ет око­ло мил­лиар­да поль­зовате­лей по все­му миру. Ведь 95% рын­ка кла­виатур, соз­данных для того, что­бы поль­зовате­ли мог­ли быс­тро и лег­ко вво­дить иерог­лифы, занима­ют уяз­вимые клавиатурные приложения ком­паний Sogou, Baidu и iFlytek.

Легкость эксплуатации обнаруженных уязвимостей и возможные последствия, включая утечку паролей и конфиденциальных данных, подчеркивают серьезность проблемы. Специалисты утверждают, что для эксплуатации недостатков не требуются особые навыки и значительные вычислительные мощности. Злоумышленникам достаточно базовых знаний, чтобы перехватить данные в общественных Wi-Fi сетях.

Проблемное шифрование

Эксперты пытались понять, почему в уязвимых приложениях передача данных оказалась не защищена должным образом.

С одной стороны, никуда не деться от наследия прошлого. Многие из клавиатурных приложений были разработаны в 2000-х годах, до широкого внедрения TLS в разработке программного обеспечения.

Кроме того, исследователи Citizen Lab предполагают, что китайские разработчики приложений сознательно отказываются от использования западных криптографических стандартов, опасаясь наличия «бэкдоров». Это побуждает их создавать собственные шифры и допускать ошибки.

Решение проблемы

После того, как исследователи уведомили разработчиков клавиатур о найденных проблемах, большинство из них устранили уязвимости. Однако некоторые предустановленные клавиатуры все еще не получили обновлений, и уязвимости до сих пор существуют.

Вопросы безопасности данных продолжают оставаться актуальными для миллионов пользователей, подчеркивая необходимость более тесного сотрудничества и обмена информацией между исследователями разных стран.