全世界中国人使用的几乎所有键盘应用程序都存在一个安全漏洞,可以监视用户正在输入的内容。
据多伦多大学附属技术和安全研究实验室公民实验室的研究人员称,该漏洞允许这些应用程序发送到云端的击键数据被拦截,该漏洞已经存在多年,可能已被网络犯罪分子和国家监视组织利用。
这些应用程序可以帮助用户更有效地输入汉字,并且在中国人使用的设备上无处不在。由百度、腾讯和科大讯飞等主要互联网公司开发的四个最受欢迎的应用程序基本上涵盖了中国人使用的所有打字方法。研究人员还研究了在中国销售的Android手机上预装的键盘应用程序。
他们的发现令人震惊。几乎每个第三方应用程序和每部预装键盘的 Android 手机都无法通过正确加密用户键入的内容来保护用户。华为制造的智能手机是唯一没有发现此类安全漏洞的设备。
2023 年 8 月,同一位研究人员发现,最受欢迎的键盘应用程序之一搜狗在将击键数据传输到其云服务器以更好地进行打字预测时没有使用传输层安全性 (TLS)。如果没有TLS(一种广泛采用的国际加密协议,可以保护用户免受已知加密漏洞的影响),则可以收集击键,然后由第三方解密。
“因为我们非常幸运地看到了这个,我们认为这可能适用于其他人,他们出于同样的原因遭受同样的问题,”公民实验室的高级研究员杰弗里·诺克尔说,“事实证明,不幸的是,我们是对的。
尽管搜狗在去年公开后修复了这个问题,但手机上预装的一些搜狗键盘没有更新到最新版本,因此它们仍然容易被窃听。
这一新发现表明,该漏洞比以前认为的要广泛得多。
“作为一个也使用过这些键盘的人,这绝对是可怕的,”普林斯顿大学计算机科学博士生、该报告的合著者Mona Wang说。
“这种规模真的让我们感到震惊,”王说。“而且,这些完全不同的制造商彼此独立地犯了非常相似的错误,这也绝对令人震惊。
由于这些漏洞并不难利用,因此问题的规模更大。“你不需要巨大的超级计算机来处理数字来破解这个问题。你不需要收集TB的数据来破解它,“Knockel说。“如果你只是一个想在Wi-Fi上瞄准另一个人的人,一旦你了解了漏洞,你就可以这样做。
研究人员说,利用这些漏洞的便利性和巨大的回报 – 知道一个人输入的所有内容,可能包括银行账户密码或机密材料 – 表明他们可能已经被黑客利用了。但是没有证据证明这一点,尽管为西方政府工作的国家黑客在2011年瞄准了中国浏览器应用程序中的类似漏洞。
这份报告中发现的大多数漏洞“远远落后于现代最佳实践”,以至于解密人们正在输入的内容非常容易,亚利桑那州立大学安全和密码学副教授Jedidiah Crandall说,他在撰写本报告时被咨询。他说,因为解密信息不需要太多努力,所以这种类型的漏洞可能成为大规模监视大规模团体的重要目标。
在研究人员与开发这些键盘应用程序的公司取得联系后,大部分漏洞都得到了修复。三星自行开发的应用程序也被发现缺乏足够的加密,它向《麻省理工科技评论》发送了一封电子邮件声明:“我们意识到了潜在的漏洞,并发布了补丁来解决这些问题。与往常一样,我们建议所有用户使用最新软件更新他们的设备,以确保尽可能高的保护级别。
但一些公司一直没有反应,该漏洞仍然存在于一些应用程序和手机中,包括QQ拼音和百度,以及任何尚未更新到最新版本的键盘应用程序中。百度、腾讯和科大讯飞没有回复《麻省理工科技评论》的媒体询问。
漏洞无处不在的一个潜在原因是,这些键盘应用程序中的大多数都是在 2000 年代开发的,当时 TLS 协议在软件开发中普遍采用。尽管从那时起,这些应用程序已经经历了多轮更新,但惯性可能会阻止开发人员采用更安全的替代方案。
该报告指出,语言障碍和不同的技术生态系统阻碍了讲英语和中文的安全研究人员共享可以更快地解决此类问题的信息。例如,由于谷歌的Play商店在中国被封锁,大多数中国应用程序在Google Play中不可用,西方研究人员经常去那里分析应用程序。
有时只需要一点额外的努力。在向科大讯飞发送了两封关于该问题的电子邮件后,公民实验室的研究人员将电子邮件标题更改为中文,并在英文文本中添加了一行中文摘要。仅仅三天后,他们就收到了科大讯飞的邮件,说问题已经解决。
暂无评论内容