image

'Populaire Chinese keyboard-apps lekken toetsaanslagen miljard gebruikers'

dinsdag 23 april 2024, 15:20 door Redactie, 11 reacties
Laatst bijgewerkt: 23-04-2024, 16:45

Meerdere populaire Chinese cloudgebaseerde keyboard-apps lekken de toetsaanslagen van wel een miljard gebruikers, zo waarschuwen onderzoekers van CitizenLab op basis van eigen onderzoek (pdf). Daarbij sluiten de onderzoekers niet uit dat inlichtingendiensten en autoriteiten hier misbruik van maken voor het surveilleren van gebruikers. Voor het onderzoek werden keyboard-apps van Baidu, Honor, Huawei, iFlytek, OPPO, Samsung, Tencent, Vivo en Xiaomi geanalyseerd. Het gaat om apps voor Android, iOS en Windows.

Acht van de negen apps bevatten kritieke kwetsbaarheden waardoor de inhoud van wat gebruikers typen tijdens het versturen ervan is te achterhalen. Het probleem wordt veroorzaakt doordat de fabrikanten hun eigen encryptiemethodes bedachten, in plaats van gevestigde standaarden te volgen. "Het mantra "don’t roll your own crypto" is misschien algemeen bekend bij in het Engels getrainde cryptografen, maar in de vertaling verloren gegaan", aldus de onderzoekers.

In veel gevallen volstaat het passief afluisteren van het netwerkverkeer om toetsaanslagen af te luisteren. De negen betreffende fabrikanten werden ingelicht, waarop de meesten met een oplossing kwamen. Sommige van de keyboard-apps zijn echter nog steeds kwetsbaar. Daarnaast zijn er ook gebruikers van wie de telefoon geen updates meer ontvangt. "Daardoor blijven veel gebruikers van deze apps voor de nabije toekomst mogelijk onder massasurveillance", stellen de onderzoekers.

"Gegeven de aard van deze kwetsbaarheid, de gevoeligheid van wat gebruikers op hun apparaten typen, het gemak waarmee de kwetsbaarheden zijn te ontdekken, en dat de Five Eyes eerder soortgelijke kwetsbaarheden in Chinese apps voor surveillance hebben gebruikt, is het mogelijk dat massasurveillance heeft plaatsgevonden op de toetsaanslagen van gebruikers", merken de onderzoekers verder op.

Voor het typen van Chinese karakters op een toetsenbord wordt meestal gebruikgemaakt van een Input Method Editor. Deze editors bieden verschillende manieren voor het invoeren van Chinese karakters. De populairste methode is de pinyin-methode. Wanneer gebruikers hun app gebruiken en een Chinees karakter op het scherm tekenen, zal een cloudgebaseerde service suggesties voor een karakter doen als er bijvoorbeeld geen suggesties in de lokale database zijn gevonden.

De apps blijken de toetsaanslagen van gebruikers echter op onveilige manieren naar de cloudserver te versturen. "Dit houdt in dat als je één van deze keyboard-apps gebruikt, je internetprovider, vpn-provider of andere gebruikers op hetzelfde wifi-netwerk als jij, de toetsaanslagen van wat je aan het typen bent kunnen achterhalen", zo waarschuwen de onderzoekers. Alleen bij de app van Huawei werden geen beveiligingsproblemen aangetroffen bij het versturen van toetsaanslagen.

Gebruikers van QQ Pinyin worden opgeroepen om meteen een andere keyboard-app te gebruiken. Daarnaast adviseren de onderzoekers het uitschakelen van de cloudgebaseerde feature. In sommige gevallen hadden de onderzoekers moeite met het updaten van hun apps. Deze apps moeten dan ook niet worden gebruikt. Verder laten de onderzoekers weten dat ze niet alle cloudgebaseerde keyboard apps hebben onderzocht, maar op basis van de kwetsbare API's het aantal veel groter is.

Massasurveillance

De onderzoekers wijzen ook naar onthullingen van klokkenluider Edward Snowden, waaruit blijkt dat de NSA eerder al mogelijkheden had ontwikkeld om kwetsbaarheden te misbruiken in de versleuteling van software die voornamelijk door Chinese gebruikers wordt gebruikt. "Gegeven de enorme inlichtingenwaarde om te weten wat gebruikers typen, kunnen we concluderen dat niet alleen de NSA en breder de Five Eyes de gevonden kwetsbaarheden op grote schaal kunnen misbruiken, maar ook een sterke motivatie hebben dit te doen", aldus de onderzoekers. Die sluiten ook niet uit dat andere landen misbruik van de gevonden kwetsbaarheden kunnen maken.

Reacties (11)
23-04-2024, 15:51 door linuxpro
Dan ben ik heel ouderwets, mijn toetsenbord zit met een touwtje aan mijn iMac... handig joh, geen lege batterijen, valt niets aan af te luisteren en werkt altijd ;-)
23-04-2024, 16:02 door Anoniem
Door linuxpro: Dan ben ik heel ouderwets, mijn toetsenbord zit met een touwtje aan mijn iMac... handig joh, geen lege batterijen, valt niets aan af te luisteren en werkt altijd ;-)
Dit werkt ook met een bedraad toetsenbord de aanslagen worden verstuurd om er een chinees teken van te maken. Deze informatie wordt doorgestuurd naar degene die wil afluisteren. Dus of je nu een draadloos toetsenbord hebt of bedraad dat maakt niks uit.
23-04-2024, 16:06 door Anoniem
Door linuxpro: Dan ben ik heel ouderwets, mijn toetsenbord zit met een touwtje aan mijn iMac... handig joh, geen lege batterijen, valt niets aan af te luisteren en werkt altijd ;-)

Ehhh, het gaat over apps, niet over een fysiek keyboard.
23-04-2024, 16:07 door Robby Swartenbroekx
Door linuxpro: Dan ben ik heel ouderwets, mijn toetsenbord zit met een touwtje aan mijn iMac... handig joh, geen lege batterijen, valt niets aan af te luisteren en werkt altijd ;-)

Het gaat hier volgens mij niet over bluetooth toetsenborden op desktop devices, maar over schermtoetsenborden op mobiele toestellen.

Ga van je melding niet zomaar van uit. Want je iMac heeft een microfoon (en zelfs camera). als malware zo gemaakt is dat ze deze gegevens kunnen uitlezen, dan weten ze ook wat je aan het typen bent. Voor de camera zeer logisch natuurlijk, voor microfoon ook al proof of concept zaken uitgekomen, dacht op een laptop keyboard. Dat ze met geluidsanalyse de getypte tekst konden te weten komen.
23-04-2024, 16:38 door Anoniem
Door linuxpro: Dan ben ik heel ouderwets, mijn toetsenbord zit met een touwtje aan mijn iMac... handig joh, geen lege batterijen, valt niets aan af te luisteren en werkt altijd ;-)

Waarom wil je zo graag duidelijk maken dat je het hele artikel niet snapt ?

Het is trouwens zeker niet uitgesloten dat jij op jouw bedrade toetsenbord precies hetzelfde probleem hebt als je dmv pinyin Chinese karakters gaat intikken.

(Dat kan op MacOS ook, ik weet alleen niet of ze - zoals de besproken apps - ook een cloud service gebruiken voor suggesties van het bedoelde karakter op basis van de pinyin invoer - macos heeft iig 'predicted completions' .).

(
Voor het typen van Chinese karakters op een toetsenbord zijn verschillende methodes beschikbaar. De populairste is de pinyin-invoermethode. Wanneer gebruikers hun app gebruiken en een Chinees karakter op het scherm tekenen, zal een cloudgebaseerde service suggesties voor een karakter doen als er geen suggesties in de lokale database zijn gevonden.
Dit lijkt elkaar wat wat tegen te spreken, of is iig onduidelijk : pinyin is een romanisatie - Chinees schrijven met latijnse letters en diacritics.
Er zijn soms meerdere verschillende karakters mogelijk voor dezelfde pinyin invoer. (homofoon - zelfde uitspraak, andere betekenis, en dan wel een ander karakter ).
Dat is wat anders dan met je vingers een karakter heel of half tekenen, en dan de suggestie bevestigen. Dat kan ook als invoer, maar het heet geen pinyin ).
23-04-2024, 16:58 door Anoniem
<sarcasm>Goh, wie had dat verwacht?</sarcasm>
23-04-2024, 18:23 door Anoniem
"Acht van de negen apps bevatten kritieke kwetsbaarheden"

Wilde gok, maar ik denk dat Samsung die ene is:

Baidu: Het hoofdkantoor van Baidu is gevestigd in Beijing, China.
Honor: Honor, voorheen een dochteronderneming van Huawei, is gevestigd in Shenzhen, China.
Huawei: Het hoofdkantoor van Huawei bevindt zich ook in Shenzhen, China.
iFlytek: Het hoofdkantoor van iFlytek is te vinden in Hefei, Anhui, China.
OPPO: OPPO heeft zijn hoofdkantoor in Dongguan, China.
Samsung: Samsung heeft meerdere belangrijke locaties, maar het hoofdkantoor van Samsung Electronics bevindt zich in Suwon, Zuid-Korea.
Tencent: Tencent, bekend van onder meer WeChat, is ook gevestigd in Shenzhen, China.
Vivo: Vivo heeft zijn hoofdkantoor in Dongguan, China.
Xiaomi: Het hoofdkantoor van Xiaomi is gelegen in Beijing, China.
23-04-2024, 22:18 door Anoniem
Geen enkele software is honderd procent gegarandeerd, maar het is belangrijk of uitsluitend apps te downloaden met beschikbare bron, het liefst ook met vrije licentie, (FOSS) dat scheelt echt enorm.
De F-Droid repository heeft een heleboel goede apps; software made with love.
Vergeet niet af en toe een donatie te doen als het uitkomt. (Uiteraard is dat niet vereist)
Er is immers vaak een groot verschil tussen "black box" proprietaire software en vrije en open source software, dat verschil is aan de buitenkant helaas onzichtbaar.
24-04-2024, 00:01 door Anoniem
Door Anoniem: "Acht van de negen apps bevatten kritieke kwetsbaarheden"

Wilde gok, maar ik denk dat Samsung die ene is:

Baidu: Het hoofdkantoor van Baidu is gevestigd in Beijing, China.
Honor: Honor, voorheen een dochteronderneming van Huawei, is gevestigd in Shenzhen, China.
Huawei: Het hoofdkantoor van Huawei bevindt zich ook in Shenzhen, China.
iFlytek: Het hoofdkantoor van iFlytek is te vinden in Hefei, Anhui, China.
OPPO: OPPO heeft zijn hoofdkantoor in Dongguan, China.
Samsung: Samsung heeft meerdere belangrijke locaties, maar het hoofdkantoor van Samsung Electronics bevindt zich in Suwon, Zuid-Korea.
Tencent: Tencent, bekend van onder meer WeChat, is ook gevestigd in Shenzhen, China.
Vivo: Vivo heeft zijn hoofdkantoor in Dongguan, China.
Xiaomi: Het hoofdkantoor van Xiaomi is gelegen in Beijing, China.


Zoveel werk in het opzoeken waar de fabrikanten gevestigd zijn, maar in plaats van wild gokken kun je ook de 6e alinea lezen :

Alleen bij de app van Huawei werden geen beveiligingsproblemen aangetroffen bij het versturen van toetsaanslagen.

Bzzt. wrong.
24-04-2024, 10:49 door Anoniem
Ik gebruik hier IBUS(Linux), beschikbaar gesteld via de Software Manager van het OS, zover werkt dat gewoon lokaal met losse input packages van zo'n 80MB voor de gewenste talen, dus de noodzaak voor cloud integratie anders dan dataminen ontgaat me(Braille komt er mee weg met een 3.2 MB aan stippen)
https://github.com/ibus/ibus/wiki
24-04-2024, 15:56 door Anoniem
Door Anoniem: Ik gebruik hier IBUS(Linux), beschikbaar gesteld via de Software Manager van het OS, zover werkt dat gewoon lokaal met losse input packages van zo'n 80MB voor de gewenste talen, dus de noodzaak voor cloud integratie anders dan dataminen ontgaat me(Braille komt er mee weg met een 3.2 MB aan stippen)
https://github.com/ibus/ibus/wiki

Ook Ibus had/krijgt/wilde een cloud-module voor pinyin input.

https://discussion.fedoraproject.org/t/no-pinyin-cloud-input-option-on-chinese-intelligent-pinyin/82247/2
https://github.com/openSUSE/mentoring/issues/100
https://coscup.org/2018/programs/libpinyin/

Zo te lezen is een voldoende 'slim' model voor Chinees om handig predictive characters voor te stellen een beetje te groot of veeleisend voor lokaal gebruik. Over een breed portfolio van mobile devices zal dat nog meer meespelen.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.