Site icon Kiber.ba

Velika bezbednosna greška u popularnim aplikacijama za tastaturu dovodi milione u opasnost

Velika bezbednosna greška u popularnim aplikacijama za tastaturu dovodi milione u opasnost-Kiber.ba

Velika bezbednosna greška u popularnim aplikacijama za tastaturu dovodi milione u opasnost-Kiber.ba

Istraživači su otkrili kritične sigurnosne propuste u nekoliko široko korišćenih aplikacija za tastaturu , uključujući one velikih tehnoloških giganata Samsung, OPPO, Vivo i Xiaomi.

Ovi nedostaci mogu omogućiti mrežnim prisluškivačima da presretnu i dešifruju svaki pritisak na tipku korisnika, otkrivajući osjetljive lične i finansijske informacije.

Sveobuhvatna studija Citizen Lab-a fokusirala se na sigurnost aplikacija za pinyin tastaturu u cloud od devet različitih proizvođača.

Analiza je uključila popularne brendove kao što su Baidu, Honor, Huawei, iFlytek, OPPO, Samsung, Tencent, Vivo i Xiaomi.

Istraživači su pomno ispitali kako ove aplikacije prenose korisničke pritiske tipki i tražili sve ranjivosti koje bi se mogle iskoristiti.

Nalazi su bili alarmantni: osam od devet dobavljača imalo je aplikacije osjetljive na presretanje.

Keystrokes Capture

To znači da bi napadač potencijalno mogao uhvatiti sve što korisnik unese, uključujući lozinke, brojeve kreditnih kartica, privatne poruke i još mnogo toga, uz relativno minimalan napor.

Jedini dobavljač čija je aplikacija za tastaturu pronađena bez takvih ranjivosti bio je Huawei.

Prema The Citizen Lab, otkrivene ranjivosti mogle bi utjecati na do milijardu korisnika širom svijeta, s obzirom na popularnost pogođenih aplikacija za tastaturu.

VendorNaziv aplikacijeOpis ranjivostiPotencijalni uticajUtječe na korisničku bazu
SamsungSamsung tastaturaNešifrirani prijenos podatakaEkspozicija svih pritisaka na tastereStotine miliona
OPPOOPPO tastaturaSlabe metode šifriranjaLako presretanje ukucanih podatakaDesetine miliona
VivoVivo tastaturaNema enkripcije u određenim scenarijimaDirektan pristup tipkamaDesetine miliona
XiaomiXiaomi tastaturaNedosljedna enkripcijaPeriodično izlaganje pritiska na tastereStotine miliona
BaiduBaidu tastaturaNešifrirani prijenos podatakaPotpuni pristup upisanim informacijamaStotine miliona
HonorHonor tastaturaSlabe metode šifriranjaPotencijalno dešifriranje osjetljivih podatakaDesetine miliona
iFlytekiFlytek tastaturaNema enkripcije za određene tipove podatakaIzlaganje lozinki i privatnih porukaMilioni
TencentTencent tastaturaNeadekvatni sigurnosni protokoliPresretljivi lični i finansijski podaciStotine miliona
HuaweiHuawei tastaturaNisu pronađene ranjivostiN / AN / A

Analiza aplikacija za pinyin tastaturu

U izvještaju je također istaknuto da ovo nije izolirano pitanje. Prethodne analize su pokazale slične ranjivosti u drugim kineskim aplikacijama, a bilo je i slučajeva kada su takve slabosti iskoristile obavještajne agencije, uključujući one iz saveza Five Eyes.

Lakoća s kojom se ove ranjivosti mogu iskoristiti čini to značajnom zabrinutošću, uglavnom zato što se aplikacije za tastaturu koriste za unos nekih od najosjetljivijih informacija na uređaju.

Ranjivosti prvenstveno uključuju neprikladan ili nesiguran prenos podataka o pritisku tipke na servere u cloud .

Ovaj prenos podataka, idealno šifriran, čini se ili loše implementiran ili potpuno nešifrovan u navedenim slučajevima, omogućavajući svakome s pravim alatima i pristupom mreži da lako presretne podatke.

U svjetlu ovih nalaza, Citizen Lab je pozvao sve pogođene kompanije da odmah riješe ove sigurnosne propuste.

Korisnicima uključenih aplikacija za tastaturu savjetuje se da ažuriraju svoje aplikacije čim zakrpe postanu dostupne. U međuvremenu, prelazak na alternativne aplikacije za tastaturu koje daju prioritet sigurnosti bi mogao biti mudar.

Izvještaj je već izazvao odgovore nekoliko uključenih kompanija. Samsung, OPPO, Vivo i Xiaomi su svi priznali problem i najavili da rade na ažuriranjima kako bi popravili ranjivosti.

Kompanije osim Baidua, Vivoa i Xiaomija odgovorile su na naša otkrića”, rekao je Citizenlab.

Izvor:CybersecurityNews

Exit mobile version