Os usuários que digitam em chinês usando aplicativos em nuvem do Baidu, Honor, iFlytek, Oppo, Samsung, Tencent, Vivo e Xiaomi devem atualizar seu software imediatamente. Os pesquisadores descobriram falhas graves de criptografia no software de entrada Pinyin que podem comprometer os dados de entrada. Embora os detalhes de exploração da vulnerabilidade ainda não tenham sido divulgados, o problema pode afetar potencialmente até mil milhões de utilizadores.
Fonte da imagem: techspot.com
A escrita chinesa contém milhares de caracteres exclusivos que não podem ser acomodados no teclado, portanto, métodos de entrada alternativos (IME) são usados para digitação. Todas as ferramentas de nuvem afetadas usavam o sistema Pinyin (literalmente, “escrita fonética”), no qual os usuários usam o alfabeto romano para inserir a pronúncia fonética e, em seguida, selecionar os caracteres apropriados de um conjunto. Os fornecedores de sistemas operacionais e desenvolvedores terceirizados têm fornecido métodos de entrada alternativos locais para usuários chineses há décadas, mas os serviços em nuvem superam os aplicativos locais em termos de precisão de detecção de caracteres.
O uso de qualquer aplicativo de digitação baseado em nuvem aumenta o risco de rastreamento, para que os desenvolvedores garantam a privacidade por meio da criptografia. Pesquisadores da Universidade de Toronto testaram a segurança de aplicativos de nove empresas: Baidu, Honor, Huawei, iFlytek, OPPO, Samsung, Tencent, Vivo e Xiaomi, e durante o experimento capturaram com sucesso as teclas digitadas por todas essas ferramentas, exceto a Huawei. aplicativo.
Os pesquisadores não encontraram falhas nos aplicativos iOS porque a Apple protege automaticamente os aplicativos de teclado e exige permissão explícita do usuário para acessar e transferir dados. Ferramentas semelhantes para Android e Windows são consideradas muito menos seguras. Os usuários do Android podem impedir que o aplicativo de teclado se conecte à Internet, mas a maioria dos usuários simplesmente não pensa nos riscos potenciais e não é fácil encontrar os controles apropriados nas configurações.
Os pesquisadores alertaram todos os desenvolvedores sobre a vulnerabilidade, e a maioria já lançou atualizações para corrigir os problemas, mas as falhas de criptografia ainda persistem nos aplicativos Baidu, no teclado Honor e no serviço QQ Pinyin da Tencent. Os pesquisadores listaram dezenas de aplicativos semelhantes que não testaram, sugerindo que a maioria dos aplicativos teria vulnerabilidades semelhantes.
Os pesquisadores expressaram alarme, relembrando episódios anteriores de vigilância governamental. Por exemplo, Five Eyes, uma aliança de partilha de inteligência entre os EUA, Reino Unido, Canadá, Austrália e Nova Zelândia, já explorou vulnerabilidades semelhantes em aplicações chinesas para espionar utilizadores.