En breve: Cualquiera que escriba en chino utilizando aplicaciones basadas en la nube de Baidu, Honor, iFlytek, Oppo, Samsung, Tencent, Vivo y Xiaomi debe actualizar su software de inmediato. El servicio de Huawei parece ser seguro, pero las fallas de seguridad en las otras aplicaciones, la mayoría de las cuales recibieron parches recientemente, podrían invitar a espiar, lo que podría afectar hasta mil millones de usuarios.
Investigadores recientemente descubierto Graves fallos de cifrado en el software de entrada pinyin basado en la nube de ocho empresas que podrían permitir escuchas ilegales. Aunque no hay evidencia de que las vulnerabilidades estén siendo explotadas activamente, incidentes anteriores hacen que este sea un problema potencialmente grave.
La escritura china incorpora miles de caracteres únicos que nunca cabrían en los teclados convencionales, por lo que escribir en el idioma requiere métodos de entrada alternativos (IME). Todas las herramientas vulnerables en la nube empleaban sistemas pinyin, en los que los usuarios escriben pronunciaciones fonéticas usando letras romanas y luego eligen entre una selección de símbolos correspondientes. Los proveedores de sistemas operativos y desarrolladores externos han proporcionado a los IME chinos un procesamiento totalmente en el dispositivo durante décadas, pero los servicios en la nube pueden determinar los caracteres correctos con mayor precisión.
Normalmente, cualquier utilidad de escritura basada en Internet conlleva un riesgo inherente, pero las empresas que ofrecen aplicaciones pinyin basadas en la nube garantizan la privacidad del usuario mediante el cifrado. Investigadores de la Universidad de Toronto probaron la seguridad de aplicaciones de nueve empresas: Baidu, Honor, Huawei, iFlytek, OPPO, Samsung, Tencent, Vivo y Xiaomi, y leyeron con éxito las pulsaciones de teclas de todas ellas, excepto la herramienta de Huawei, exponiendo potencialmente todas las aplicaciones. información a los espías. Algunas de las vulnerabilidades pueden filtrar datos a fisgones completamente pasivos.
En particular, los investigadores no encontraron fallas en las aplicaciones de iOS porque Apple automáticamente protege las aplicaciones de teclado de la plataforma. Permitir que las aplicaciones de teclado del iPhone accedan y transmitan datos requiere un permiso explícito del usuario. Mientras tanto, las herramientas equivalentes de Android y Windows se consideraron mucho menos seguras. Los usuarios de Android pueden elegir si los teclados se conectan a Internet, pero los investigadores descubrieron que los controles correspondientes podrían ser demasiado difíciles de encontrar para algunos usuarios.
Después de que los investigadores advirtieron a los nueve proveedores, la mayoría lanzó actualizaciones para solucionar los problemas, pero las fallas de cifrado persisten en las aplicaciones de Baidu, el teclado de Honor y el servicio QQ Pinyin de Tencent. Además, los investigadores enumeraron docenas de aplicaciones similares que no pudieron probar pero que podrían sufrir los mismos problemas.
Los investigadores expresaron alarma en parte debido a episodios anteriores que involucraron vigilancia gubernamental. El informe señala que Five Eyes (una alianza de intercambio de inteligencia entre EE. UU., Reino Unido, Canadá, Australia y Nueva Zelanda) había utilizado previamente vulnerabilidades similares en aplicaciones chinas para espiar a sus usuarios.