Las vulnerabilidades de seguridad descubiertas en las aplicaciones de teclado pinyin basadas en la nube podrían explotarse para revelar las pulsaciones de teclas de los usuarios a actores nefastos.
Los hallazgos provienen del Citizen Lab, que descubrió debilidades en ocho de nueve aplicaciones de proveedores como Baidu, Honor, iFlytek, OPPO, Samsung, Tencent, Vivo y Xiaomi. El único proveedor cuya aplicación de teclado no tenía ningún problema de seguridad es la de Huawei.
Las vulnerabilidades podrían explotarse para «revelar completamente el contenido de las pulsaciones de teclas de los usuarios en tránsito», dijeron los investigadores Jeffrey Knockel, Mona Wang y Zoë Reichert .
La divulgación se basa en investigaciones anteriores del laboratorio interdisciplinario con sede en la Universidad de Toronto, que identificó fallas criptográficas en el método de entrada Sogou de Tencent en agosto pasado.
En conjunto, se estima que cerca de mil millones de usuarios se ven afectados por esta clase de vulnerabilidades, y los editores de métodos de entrada (IME) de Sogou, Baidu e iFlytek representan una gran parte de la cuota de mercado.
Un resumen de los problemas identificados es el siguiente:
- Tencent QQ Pinyin, que es vulnerable a un ataque de oráculo de relleno CBC que podría permitir recuperar texto sin formato
- Baidu IME, que permite a los espías de la red descifrar transmisiones de red y extraer el texto escrito en Windows debido a un error en el protocolo de cifrado BAIDUv3.1
- iFlytek IME, cuya aplicación para Android permite a los espías de la red recuperar el texto sin formato de transmisiones de red insuficientemente cifradas
- Teclado Samsung en Android, que transmite datos de pulsaciones de teclas a través de HTTP simple y sin cifrar
- Xiaomi, que viene preinstalada con aplicaciones de teclado de Baidu, iFlytek y Sogou (y por lo tanto susceptible a los mismos defectos antes mencionados)
- OPPO, que viene preinstalada con aplicaciones de teclado de Baidu y Sogou (y por lo tanto susceptible a los mismos defectos antes mencionados)
- Vivo, que viene preinstalado con Sogou IME (y por lo tanto susceptible al mismo defecto antes mencionado)
- Honor, que viene preinstalado con Baidu IME (y por lo tanto susceptible al mismo defecto antes mencionado)
La explotación exitosa de estas vulnerabilidades podría permitir a los adversarios descifrar las pulsaciones de teclas de los usuarios móviles chinos de forma totalmente pasiva sin enviar ningún tráfico de red adicional. Tras una divulgación responsable, todos los desarrolladores de aplicaciones de teclado, con excepción de Honor y Tencent (QQ Pinyin), abordaron los problemas a partir del 1 de abril de 2024.
Se recomienda a los usuarios que mantengan actualizadas sus aplicaciones y sistemas operativos y que cambien a una aplicación de teclado que funcione completamente en el dispositivo para mitigar estos problemas de privacidad.
Otras recomendaciones instan a los desarrolladores de aplicaciones a utilizar protocolos de cifrado estándar y bien probados en lugar de desarrollar versiones locales que podrían tener problemas de seguridad. También se ha instado a los operadores de tiendas de aplicaciones a no bloquear geográficamente las actualizaciones de seguridad y permitir a los desarrolladores dar fe de todos los datos que se transmiten con cifrado.
El Citizen Lab teorizó que es posible que los desarrolladores de aplicaciones chinos estén menos inclinados a utilizar estándares criptográficos «occidentales» debido a la preocupación de que puedan contener sus propias puertas traseras, lo que los impulsó a desarrollar cifrados internos.
«Dado el alcance de estas vulnerabilidades, la sensibilidad de lo que los usuarios escriben en sus dispositivos, la facilidad con la que estas vulnerabilidades pueden haber sido descubiertas y que los Cinco Ojos han explotado previamente vulnerabilidades similares en aplicaciones chinas para vigilancia, es posible que tales vulnerabilidades Las pulsaciones de teclas de los usuarios también pueden haber estado bajo vigilancia masiva», dijeron los investigadores.
Fuente y redacción: thehackernews.com
