Lỗ hổng bảo mật lớn phơi bày thao tác gõ phím của hơn 1 tỷ người dùng ứng dụng bàn phím Trung Quốc

www.tuoitre.vn -   25/04/2024 08:00:00 173

Các lỗ hổng bảo mật được phát hiện trong các ứng dụng bàn phím bính âm dựa trên đám mây có thể bị khai thác để tiết lộ thao tác gõ phím của người dùng cho những kẻ bất chính.

Lỗ hổng bảo mật lớn phơi bày thao tác gõ phím của hơn 1 tỷ người dùng ứng dụng bàn phím Trung Quốc

Phát hiện này đến từ Citizen Lab, nơi đã phát hiện ra điểm yếu của 8 trong số 9 ứng dụng từ các nhà cung cấp như Baidu, Honor, iFlytek, OPPO, Samsung, Tencent, Vivo và Xiaomi. Nhà cung cấp duy nhất có ứng dụng bàn phím không có bất kỳ thiếu sót nào về bảo mật là của Huawei.

Các nhà nghiên cứu Jeffrey Knockel, Mona Wang và Zoë Reichert cho biết các lỗ hổng có thể bị khai thác để “tiết lộ hoàn toàn nội dung thao tác gõ phím của người dùng trong quá trình truyền”.

Tiết lộ này được xây dựng dựa trên nghiên cứu trước đây của phòng thí nghiệm liên ngành có trụ sở tại Đại học Toronto, nơi đã xác định các lỗ hổng mật mã trong Phương thức nhập liệu Sogou của Tencent vào tháng 8 năm ngoái.

Nói chung, người ta ước tính có gần một tỷ người dùng bị ảnh hưởng bởi loại lỗ hổng này, trong đó Trình chỉnh sửa phương thức nhập liệu (IME) từ Sogou, Baidu và iFlytek chiếm phần lớn thị phần.

Bính âm QQ của Tencent, dễ bị tấn công bởi một cuộc tấn công oracle đệm CBC có thể giúp khôi phục bản rõ

Baidu IME, cho phép những kẻ nghe trộm mạng giải mã đường truyền mạng và trích xuất văn bản đã nhập trên Windows do lỗi trong giao thức mã hóa BAIDUv3.1

iFlytek IME, có ứng dụng Android cho phép những kẻ nghe trộm mạng khôi phục bản rõ của các đường truyền mạng được mã hóa không đủ

Bàn phím Samsung trên Android, truyền dữ liệu gõ phím qua HTTP đơn giản, không được mã hóa

Xiaomi, được cài đặt sẵn các ứng dụng bàn phím từ Baidu, iFlytek và Sogou (và do đó dễ mắc phải các lỗi tương tự đã nói ở trên)

OPPO, được cài đặt sẵn các ứng dụng bàn phím từ Baidu và Sogou (và do đó dễ mắc phải các lỗi tương tự đã nói ở trên)

Vivo, được cài đặt sẵn Sogou IME (và do đó dễ mắc phải lỗ hổng tương tự đã nói ở trên)

Honor, được cài đặt sẵn Baidu IME (và do đó dễ mắc phải lỗ hổng tương tự đã nói ở trên)

Việc khai thác thành công các lỗ hổng này có thể cho phép kẻ thù giải mã hoàn toàn các thao tác gõ phím của người dùng di động Trung Quốc một cách thụ động mà không gửi thêm bất kỳ lưu lượng truy cập mạng nào. Sau khi tiết lộ có trách nhiệm, mọi nhà phát triển ứng dụng bàn phím ngoại trừ Honor và Tencent (QQ Pinyin) đều đã giải quyết các vấn đề kể từ ngày 1 tháng 4 năm 2024.

Người dùng nên cập nhật ứng dụng và hệ điều hành của mình và chuyển sang ứng dụng bàn phím hoạt động hoàn toàn trên thiết bị để giảm thiểu các vấn đề về quyền riêng tư này.

Các khuyến nghị khác kêu gọi các nhà phát triển ứng dụng sử dụng các giao thức mã hóa tiêu chuẩn và đã được kiểm tra kỹ lưỡng thay vì phát triển các phiên bản cây nhà lá vườn có thể gặp vấn đề về bảo mật. Các nhà khai thác cửa hàng ứng dụng cũng được khuyến khích không cập nhật bảo mật khóa địa lý và cho phép các nhà phát triển chứng thực tất cả dữ liệu được truyền bằng mã hóa.

Citizen Lab đưa ra giả thuyết rằng có thể các nhà phát triển ứng dụng Trung Quốc ít có xu hướng sử dụng các tiêu chuẩn mật mã được coi là "phương Tây" do lo ngại rằng chúng có thể chứa các cửa sau của riêng họ, khiến họ phải phát triển mật mã nội bộ.

“Dựa vào phạm vi của những lỗ hổng này, mức độ nhạy cảm của những gì người dùng nhập trên thiết bị của họ, mức độ dễ dàng phát hiện ra những lỗ hổng này và rằng Five Eyes trước đây đã khai thác những lỗ hổng tương tự trong các ứng dụng của Trung Quốc để giám sát, có thể những điều đó sẽ xảy ra.” các thao tác gõ phím của người dùng cũng có thể bị giám sát hàng loạt”, các nhà nghiên cứu cho biết.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Nhiều trang web chống virus giả mạo này ...

31/05/2024 08:00:00 107
Các chuyên gia bảo mật đã quan sát thấy các tác nhân đe dọa sử dụng các trang web giả mạo giả dạng g...

Top mười từ khóa trên Google không nên t...

31/05/2024 12:00:00 95
Dưới đây là những từ khóa được khuyến cáo không nên tìm kiếm trên Google.

Các nhà nghiên cứu phát hiện hoạt động k...

30/05/2024 08:00:00 96
Các nhà nghiên cứu an ninh mạng đã cảnh báo rằng nhiều lỗ hổng bảo mật có mức độ nghiêm trọng cao tr...

Nội dung của người dùng sẽ bị Facebook t...

30/05/2024 12:00:00 81
Nội dung công khai của người dùng – không phải tin nhắn riêng tư – sẽ được Meta sử dụng để đào tạo v...

Microsoft cảnh báo về sự gia tăng các cu...

29/05/2024 08:00:00 88
Microsoft đã nhấn mạnh sự cần thiết phải bảo mật các thiết bị công nghệ vận hành (OT) có kết nối int...

Elon Musk tố dữ liệu người dùng trên Wha...

29/05/2024 12:00:00 64
Elon Musk tuyên bố rằng WhatsApp xuất tất cả dữ liệu người dùng mỗi đêm, vi phạm quyền riêng tư nghi...
Xem thêm

LIÊN HỆ

Thông tin liên hệ