'Populaire Chinese keyboard-apps lekken toetsaanslagen miljard gebruikers'
Meerdere populaire Chinese cloudgebaseerde keyboard-apps lekken de toetsaanslagen van wel een miljard gebruikers, zo waarschuwen onderzoekers van CitizenLab op basis van eigen onderzoek (pdf). Daarbij sluiten de onderzoekers niet uit dat inlichtingendiensten en autoriteiten hier misbruik van maken voor het surveilleren van gebruikers. Voor het onderzoek werden keyboard-apps van Baidu, Honor, Huawei, iFlytek, OPPO, Samsung, Tencent, Vivo en Xiaomi geanalyseerd. Het gaat om apps voor Android, iOS en Windows.
Acht van de negen apps bevatten kritieke kwetsbaarheden waardoor de inhoud van wat gebruikers typen tijdens het versturen ervan is te achterhalen. Het probleem wordt veroorzaakt doordat de fabrikanten hun eigen encryptiemethodes bedachten, in plaats van gevestigde standaarden te volgen. "Het mantra "don’t roll your own crypto" is misschien algemeen bekend bij in het Engels getrainde cryptografen, maar in de vertaling verloren gegaan", aldus de onderzoekers.
In veel gevallen volstaat het passief afluisteren van het netwerkverkeer om toetsaanslagen af te luisteren. De negen betreffende fabrikanten werden ingelicht, waarop de meesten met een oplossing kwamen. Sommige van de keyboard-apps zijn echter nog steeds kwetsbaar. Daarnaast zijn er ook gebruikers van wie de telefoon geen updates meer ontvangt. "Daardoor blijven veel gebruikers van deze apps voor de nabije toekomst mogelijk onder massasurveillance", stellen de onderzoekers.
"Gegeven de aard van deze kwetsbaarheid, de gevoeligheid van wat gebruikers op hun apparaten typen, het gemak waarmee de kwetsbaarheden zijn te ontdekken, en dat de Five Eyes eerder soortgelijke kwetsbaarheden in Chinese apps voor surveillance hebben gebruikt, is het mogelijk dat massasurveillance heeft plaatsgevonden op de toetsaanslagen van gebruikers", merken de onderzoekers verder op.
Voor het typen van Chinese karakters op een toetsenbord wordt meestal gebruikgemaakt van een Input Method Editor. Deze editors bieden verschillende manieren voor het invoeren van Chinese karakters. De populairste methode is de pinyin-methode. Wanneer gebruikers hun app gebruiken en een Chinees karakter op het scherm tekenen, zal een cloudgebaseerde service suggesties voor een karakter doen als er bijvoorbeeld geen suggesties in de lokale database zijn gevonden.
De apps blijken de toetsaanslagen van gebruikers echter op onveilige manieren naar de cloudserver te versturen. "Dit houdt in dat als je één van deze keyboard-apps gebruikt, je internetprovider, vpn-provider of andere gebruikers op hetzelfde wifi-netwerk als jij, de toetsaanslagen van wat je aan het typen bent kunnen achterhalen", zo waarschuwen de onderzoekers. Alleen bij de app van Huawei werden geen beveiligingsproblemen aangetroffen bij het versturen van toetsaanslagen.
Gebruikers van QQ Pinyin worden opgeroepen om meteen een andere keyboard-app te gebruiken. Daarnaast adviseren de onderzoekers het uitschakelen van de cloudgebaseerde feature. In sommige gevallen hadden de onderzoekers moeite met het updaten van hun apps. Deze apps moeten dan ook niet worden gebruikt. Verder laten de onderzoekers weten dat ze niet alle cloudgebaseerde keyboard apps hebben onderzocht, maar op basis van de kwetsbare API's het aantal veel groter is.
Massasurveillance
De onderzoekers wijzen ook naar onthullingen van klokkenluider Edward Snowden, waaruit blijkt dat de NSA eerder al mogelijkheden had ontwikkeld om kwetsbaarheden te misbruiken in de versleuteling van software die voornamelijk door Chinese gebruikers wordt gebruikt. "Gegeven de enorme inlichtingenwaarde om te weten wat gebruikers typen, kunnen we concluderen dat niet alleen de NSA en breder de Five Eyes de gevonden kwetsbaarheden op grote schaal kunnen misbruiken, maar ook een sterke motivatie hebben dit te doen", aldus de onderzoekers. Die sluiten ook niet uit dat andere landen misbruik van de gevonden kwetsbaarheden kunnen maken.Ehhh, het gaat over apps, niet over een fysiek keyboard.
Het gaat hier volgens mij niet over bluetooth toetsenborden op desktop devices, maar over schermtoetsenborden op mobiele toestellen.
Ga van je melding niet zomaar van uit. Want je iMac heeft een microfoon (en zelfs camera). als malware zo gemaakt is dat ze deze gegevens kunnen uitlezen, dan weten ze ook wat je aan het typen bent. Voor de camera zeer logisch natuurlijk, voor microfoon ook al proof of concept zaken uitgekomen, dacht op een laptop keyboard. Dat ze met geluidsanalyse de getypte tekst konden te weten komen.
Waarom wil je zo graag duidelijk maken dat je het hele artikel niet snapt ?
Het is trouwens zeker niet uitgesloten dat jij op jouw bedrade toetsenbord precies hetzelfde probleem hebt als je dmv pinyin Chinese karakters gaat intikken.
(Dat kan op MacOS ook, ik weet alleen niet of ze - zoals de besproken apps - ook een cloud service gebruiken voor suggesties van het bedoelde karakter op basis van de pinyin invoer - macos heeft iig 'predicted completions' .).
(
Er zijn soms meerdere verschillende karakters mogelijk voor dezelfde pinyin invoer. (homofoon - zelfde uitspraak, andere betekenis, en dan wel een ander karakter ).
Dat is wat anders dan met je vingers een karakter heel of half tekenen, en dan de suggestie bevestigen. Dat kan ook als invoer, maar het heet geen pinyin ).
Wilde gok, maar ik denk dat Samsung die ene is:
Baidu: Het hoofdkantoor van Baidu is gevestigd in Beijing, China.
Honor: Honor, voorheen een dochteronderneming van Huawei, is gevestigd in Shenzhen, China.
Huawei: Het hoofdkantoor van Huawei bevindt zich ook in Shenzhen, China.
iFlytek: Het hoofdkantoor van iFlytek is te vinden in Hefei, Anhui, China.
OPPO: OPPO heeft zijn hoofdkantoor in Dongguan, China.
Samsung: Samsung heeft meerdere belangrijke locaties, maar het hoofdkantoor van Samsung Electronics bevindt zich in Suwon, Zuid-Korea.
Tencent: Tencent, bekend van onder meer WeChat, is ook gevestigd in Shenzhen, China.
Vivo: Vivo heeft zijn hoofdkantoor in Dongguan, China.
Xiaomi: Het hoofdkantoor van Xiaomi is gelegen in Beijing, China.
De F-Droid repository heeft een heleboel goede apps; software made with love.
Vergeet niet af en toe een donatie te doen als het uitkomt. (Uiteraard is dat niet vereist)
Er is immers vaak een groot verschil tussen "black box" proprietaire software en vrije en open source software, dat verschil is aan de buitenkant helaas onzichtbaar.
Wilde gok, maar ik denk dat Samsung die ene is:
Baidu: Het hoofdkantoor van Baidu is gevestigd in Beijing, China.
Honor: Honor, voorheen een dochteronderneming van Huawei, is gevestigd in Shenzhen, China.
Huawei: Het hoofdkantoor van Huawei bevindt zich ook in Shenzhen, China.
iFlytek: Het hoofdkantoor van iFlytek is te vinden in Hefei, Anhui, China.
OPPO: OPPO heeft zijn hoofdkantoor in Dongguan, China.
Samsung: Samsung heeft meerdere belangrijke locaties, maar het hoofdkantoor van Samsung Electronics bevindt zich in Suwon, Zuid-Korea.
Tencent: Tencent, bekend van onder meer WeChat, is ook gevestigd in Shenzhen, China.
Vivo: Vivo heeft zijn hoofdkantoor in Dongguan, China.
Xiaomi: Het hoofdkantoor van Xiaomi is gelegen in Beijing, China.
Zoveel werk in het opzoeken waar de fabrikanten gevestigd zijn, maar in plaats van wild gokken kun je ook de 6e alinea lezen :
Bzzt. wrong.
https://github.com/ibus/ibus/wiki
https://github.com/ibus/ibus/wiki
Ook Ibus had/krijgt/wilde een cloud-module voor pinyin input.
https://discussion.fedoraproject.org/t/no-pinyin-cloud-input-option-on-chinese-intelligent-pinyin/82247/2
https://github.com/openSUSE/mentoring/issues/100
https://coscup.org/2018/programs/libpinyin/
Zo te lezen is een voldoende 'slim' model voor Chinees om handig predictive characters voor te stellen een beetje te groot of veeleisend voor lokaal gebruik. Over een breed portfolio van mobile devices zal dat nog meer meespelen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.