De zeer populaire Chinese keyboard-app Sogou heeft lange tijd de toetsaanslagen van miljoenen gebruikers niet goed beveiligd, waardoor die eenvoudig waren af te luisteren. Via de app, die 450 miljoen maandelijkse actieve gebruikers telt, is het eenvoudig om Chinese karakters op een smartphone of computer in te voeren. De ontwikkelaars hadden echter hun eigen encryptie bedacht, waarin onderzoekers van Citizen Lab verschillende kwetsbaarheden vonden. Deze beveiligingslekken maken het mogelijk voor aanvallers op het netwerk om alle toetsaanslagen van gebruikers in plaintext te achterhalen. Inmiddels zijn er voor zowel Android, iOS als Windows nieuwe versies van de app verschenen.
Wanneer gebruikers de app gebruiken en een Chinees karakter op het scherm tekenen, zal een cloudgebaseerde service suggesties voor een karakter doen als er geen suggesties in de lokale database zijn gevonden. Voor het beveiligen van het verkeer hebben de ontwikkelaars hun eigen encryptiesysteem bedacht. Onderzoekers van Citizen Lab ontdekten dat deze methode kwetsbaar is voor een CBC padding oracle-aanval. Daardoor kan een aanvaller de plaintext van versleuteld netwerkverkeer achterhalen en zo zien wat de gebruiker heeft getypt. In het geval van de Androidversie lukte het de onderzoekers ook om de tweede helft van de symmetrische sleutels te achterhalen die de app gebruikt voor het versleutelen van verkeer.
Onderzoekers van Citizen Lab waarschuwden internetgigant en ontwikkelaar Tencent op 31 mei voor de gevonden problemen. Er volgde geen reactie, waarop het probleem op 16 juni nogmaals werd gemeld. Op 25 juni ontvingen de onderzoekers een reactie dat de kwetsbaarheden eigenlijk geen probleem waren. Achttien uur later kwam Tencent daarop terug en liet weten dat de beoordeling verkeerd was. Het bedrijf was bezig met de kwetsbaarheid en riep de onderzoekers op het probleem niet openbaar te maken. Eind vorige maand verschenen er updates voor de app. Volgens Citizen Lab laat het onderzoek zien dat het belangrijk is dat ontwikkelaars bekende encryptiesystemen gebruiken en niet hun eigen crypto gaan bedenken.
Deze posting is gelocked. Reageren is niet meer mogelijk.