Обладатели смартфонов и планшетов китайского производства могут сталкиваться с приложениями для набора текста, предустановленными на устройствах. Набирающие текст на китайском языке в облачных приложениях от компаний Baidu, Honor, iFlytek, Oppo, Samsung, Tencent, Vivo и Xiaomi должны немедленно обновить эти приложения. К сервису Huawei это не относится, но в других приложениях есть риск слежки, которые затрагивает до миллиарда человек.
Исследователи нашли уязвимости в шифровании облачного программного обеспечения для набора текста у восьми компаний. В результате злоумышленники могут перехватывать набираемый текст. Никаких свидетельств тому, что это уже происходило, не найдено, но прежде такие случаи были.
Китайская письменность содержит тысячи символов, которые не могут уместиться на клавиатурах. Требуются альтернативные методы ввода и в данном случае применялась система pinyin. Это означает, что пользователь вводит фонетическое произношение при помощи латинских букв, выбирая нужные символы из набора. Прежде в операционных системах обработка ввода велась локально на устройстве, но в облачных сервисах точность поиска правильных символов может быть выше.
Чтобы гарантировать пользователям конфиденциальность, подобные облачные приложения используют шифрование данных. Специалисты из университета Торонто рассмотрели приложения компаний Baidu, Honor, Huawei, iFlytek, OPPO, Samsung, Tencent, Vivo и Xiaomi. Только у Huawei они не смогли считать нажатия клавиш, перехватив набираемый пользователем текст у остальных. Некоторые уязвимости позволяют выполнять перехват набираемого текста пассивным методом.
На iOS подобных уязвимостей не было, поскольку там приложения-клавиатуры помещаются в песочнице. Пользователь должен дать им явное разрешение на доступ к данным и их передачу. На Android и Windows такого уровня безопасности нет.
Исследователи рассмотрели лишь несколько приложений, а подобные уязвимости могут скрываться ещё в десятках программ. Сообщается, что Альянс «Пяти глаз», куда входят Великобритания, США, Канада, Австралия и Новая Зеландия, уже использовал подобные уязвимости для шпионажа за пользователями.
