Sérülékeny kínai billentyűzetalkalmazások
A Citizen Lab jelentése szerint szinte az összes kínai nyelvű billentyűzetalkalmazás tartalmaz egy biztonsági rést, amely lehetővé teszi a felhasználók által beírt szövegek kémkedését.
A sérülékenység, amely lehetővé teszi az alkalmazások által a felhőbe küldött billentyűleütési adatok elfogását, évek óta létezik, és kiberbűnözők és állami megfigyelőcsoportok is kihasználhatták volna.
Kilenc gyártó – Baidu, Honor, Huawei, iFlytek, OPPO, Samsung, Tencent, Vivo és Xiaomi – felhőalapú pinyin billentyűzetalkalmazásainak biztonságát elemeztük, és megvizsgáltuk, hogy a felhasználók billentyűleütéseinek továbbítása nem tartalmaz-e sebezhetőséget. A Citizen Lab elemzése a kilenc gyártó közül nyolc billentyűzetalkalmazásában mutatott ki kritikus sebezhetőségeket, amelyeknél a sebezhetőséget kihasználva teljesen feltárhattuk a felhasználók billentyűleütéseinek tartalmát az átvitel során. A sebezhető alkalmazások többségét egy teljesen passzív hálózati lehallgató kihasználhatja. A A Citizen Lab mind a kilenc gyártónak jelentette ezeket a sebezhetőségeket. A legtöbb gyártó válaszolt, komolyan vette a problémát, és kijavította a bejelentett sebezhetőségeket, bár néhány billentyűzetalkalmazás továbbra is sebezhető maradt. A A Citizen Lab jelentése összefoglalja a különböző érdekelt feleknek szóló ajánlásainkat, amelyekkel megpróbáljuk csökkenteni a hasonló sebezhetőségekkel rendelkező alkalmazásokból eredő jövőbeli károkat.