تقریباً تمام برنامههای صفحهکلید که به کاربران اجازه میدهند حروف چینی را در Android، iOS یا سایر دستگاههای تلفن همراه خود وارد کنند، در برابر حملاتی آسیبپذیر هستند که به دشمن اجازه میدهد تمام ضربههای کلید خود را ضبط کند.
یک مطالعه جدید توسط آزمایشگاه شهروندی دانشگاه تورنتو نشان می دهد که این شامل داده هایی مانند اعتبار ورود، اطلاعات مالی و پیام هایی است که در غیر این صورت رمزگذاری شده اند.
مشکل فراگیر
برای مطالعهمحققان آزمایشگاه برنامههای پینیین مبتنی بر ابر (که حروف چینی را به کلماتی با حروف رومی تبدیل میکنند) از 9 فروشنده که به کاربران در چین میفروشند: Baidu، Samsung، Huawei، Tencent، Xiaomi، Vivo، OPPO، iFlytek و Honor در نظر گرفتند. . تحقیقات آنها نشان داد که همه به جز برنامه هواوی، دادههای ضربه زدن به کلید را به گونهای به فضای ابری ارسال میکند که استراق سمع غیرفعال را قادر میسازد تا مطالب را با متن واضح و با کمی مشکل بخواند. محققان آزمایشگاه شهروندی که طی سالها به دلیل افشای چندین جاسوسی سایبری شهرت پیدا کردهاند، نظارت و سایر تهدیدات که کاربران تلفن همراه و جامعه مدنی را هدف قرار داده است، گفت که هر یک از آنها حداقل دارای یک آسیب پذیری قابل بهره برداری در نحوه مدیریت انتقال ضربه های کلید کاربر به فضای ابری هستند.
جفری ناکل، مونا وانگ و زوئی ریچرت، محققین Citizen Lab در گزارشی که نتایج این هفته خود را خلاصه میکردند، نباید دامنه آسیبپذیریها را دست کم گرفت: محققان آزمایشگاه Citizen Lab دریافتند که 76 درصد از کاربران اپلیکیشن صفحهکلید در سرزمین اصلی چین، در واقع، از صفحه کلید پینیین برای وارد کردن حروف چینی استفاده کنید.
محققان گفتند: «همه آسیبپذیریهایی که در این گزارش پوشش دادهایم میتوانند کاملاً غیرفعال و بدون ارسال ترافیک شبکه اضافی مورد سوء استفاده قرار گیرند». و برای راهاندازی، آسیبپذیریها به راحتی قابل کشف بودند و برای بهرهبرداری نیازی به پیچیدگیهای فنی ندارند. به این ترتیب، ممکن است تعجب کنیم که آیا این آسیبپذیریها به طور فعال تحت استثمار انبوه هستند؟
هر یک از برنامههای صفحهکلید آسیبپذیر پینیین که Citizen Lab مورد بررسی قرار داد، دارای یک مؤلفه محلی، روی دستگاه و یک سرویس پیشبینی مبتنی بر ابر برای مدیریت رشتههای طولانی هجاها و کاراکترهای پیچیده بود. از 9 برنامه ای که آنها بررسی کردند، سه برنامه از توسعه دهندگان نرم افزار تلفن همراه - Tencent، Baidu و iFlytek بودند. پنج مورد باقیمانده برنامههایی بودند که سامسونگ، شیائومی، OPPO، ویوو و آنر - همه سازندگان دستگاههای تلفن همراه - یا خودشان توسعه داده بودند یا از یک توسعهدهنده شخص ثالث در دستگاههای خود ادغام کرده بودند.
قابل بهره برداری از طریق روش های فعال و غیرفعال
روش های بهره برداری برای هر برنامه متفاوت است. به عنوان مثال، برنامه QQ Pinyin Tencent برای اندروید و ویندوز دارای یک آسیبپذیری بود که به محققان اجازه میداد تا از طریق روشهای استراق سمع فعال، یک اکسپلویت کاری برای رمزگشایی ضربههای کلید ایجاد کنند. IME Baidu برای ویندوز حاوی آسیبپذیری مشابهی بود، که Citizen Lab برای آن یک اکسپلویت کار برای رمزگشایی دادههای ضربه زدن به کلید از طریق روشهای شنود فعال و غیرفعال ایجاد کرد.
محققان نقاط ضعف امنیتی و حریم خصوصی رمزگذاری شده دیگری را در نسخههای iOS و اندروید بایدو پیدا کردند، اما برای آنها اکسپلویت توسعه ندادند. برنامه iFlytek برای اندروید دارای یک آسیبپذیری بود که به یک استراق سمع غیرفعال اجازه میداد در ارسالهای صفحهکلید متن ساده به دلیل ناکافی بودن آن، بازیابی کند. رمزگذاری موبایل.
از طرف فروشنده سختافزار، برنامه صفحه کلید خانگی سامسونگ اصلاً رمزگذاری را ارائه نمیکرد و در عوض پیامهایی را با ضربه زدن کلید به صورت واضح ارسال میکرد. سامسونگ همچنین به کاربران این امکان را می دهد که از برنامه Sogou Tencent یا برنامه ای از Baidu در دستگاه های خود استفاده کنند. از بین این دو اپلیکیشن، Citizen Lab اپلیکیشن کیبورد Baidu را در برابر حمله آسیب پذیر تشخیص داد.
محققان نتوانستند مشکلی را در برنامه صفحهکلید پینیین داخلی Vivo شناسایی کنند، اما از یک آسیبپذیری که در یک برنامه Tencent کشف کردند که در دستگاههای Vivo نیز موجود است، بهرهبرداری کردند.
برنامههای شخص ثالث Pinyin (از Baidu، Tencent، و iFlytek) که با دستگاههای سایر سازندگان دستگاههای تلفن همراه در دسترس هستند، همگی دارای آسیبپذیریهای قابل سوءاستفاده بودند.
به نظر می رسد این مسائل غیر معمول نیستند. سال گذشته، Citizen Labs تحقیقات جداگانهای را در Sogou Tencent انجام داده بود - که توسط حدود 450 میلیون نفر در چین استفاده میشد - و آسیبپذیریهایی را پیدا کرد که ضربههای کلید را در معرض حملات شنود قرار میداد.
Citizen Lab گفت: «با ترکیب آسیبپذیریهای کشفشده در این و گزارش قبلی ما در مورد تجزیه و تحلیل برنامههای صفحه کلید Sogou، تخمین میزنیم که تا یک میلیارد کاربر تحت تأثیر این آسیبپذیریها قرار دارند».
آسیب پذیری ها می توانند امکان نظارت انبوه سیتیزن لب گفت: از کاربران چینی دستگاه های تلفن همراه - از جمله با سیگنال های سرویس های اطلاعاتی متعلق به کشورهای به اصطلاح پنج چشم - ایالات متحده، بریتانیا، کانادا، استرالیا و نیوزیلند. این گزارش خاطرنشان کرد که آسیبپذیریهای اپلیکیشنهای صفحهکلید که Citizen Lab در تحقیقات جدید خود کشف کرد، بسیار شبیه به آسیبپذیریهای موجود در مرورگر UC توسعهیافته در چین است که سازمانهای اطلاعاتی این کشورها برای اهداف نظارتی از آنها بهرهبرداری میکنند.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/endpoint-security/most-chinese-keyboard-apps-vulnerable-to-eavesdropping
- : دارد
- :است
- :نه
- $UP
- 1b
- a
- فعال
- فعالانه
- اضافی
- دشمن
- تحت تاثیر قرار
- سازمان
- معرفی
- اجازه دادن
- مجاز
- همچنین
- an
- تجزیه و تحلیل
- و
- اندروید
- هر
- نرم افزار
- برنامه های
- هستند
- AS
- At
- حمله
- حمله
- استرالیا
- در دسترس
- بایدو
- BE
- زیرا
- بودن
- متعلق به
- بیلیون
- هر دو
- مرورگر
- اما
- by
- CAN
- Canada
- گرفتن
- کاراکتر
- چین
- چینی
- شهروند
- مدنی
- واضح
- ابر
- ترکیب
- پیچیده
- جزء
- انجام
- در نظر گرفته
- شامل
- موجود
- محتویات
- میتوانست
- کشور
- پوشش داده شده
- ایجاد
- ایجاد شده
- مجوزها و اعتبارات
- سایبر
- داده ها
- توسعه
- توسعه
- توسعه دهنده
- توسعه دهندگان
- دستگاه
- دستگاه ها
- DID
- متفاوت است
- مشکل
- كشف كردن
- کشف
- do
- هر
- به دست آورده
- ساده
- هر دو
- فعال
- رمزگذاری
- رمزگذاری
- پشت سر هم
- وارد
- به طور کامل
- کل
- جاسوسی
- تخمین زدن
- اتر (ETH)
- بهره برداری
- بهره برداری
- سوء استفاده قرار گیرد
- سوء استفاده
- قرار گرفتن در معرض
- چشم ها
- واقعیت
- مالی
- اطلاعات مالی
- یافته ها
- پنج
- برای
- یافت
- از جانب
- بود
- دسته
- اداره
- سخت افزار
- آیا
- خانه دار
- افتخار
- چگونه
- HTTPS
- Huawei در
- شناسایی
- شناسایی
- in
- شامل
- از جمله
- اطلاعات
- ورودی
- نمونه
- در عوض
- ناکافی
- یکپارچه
- اطلاعات
- داخلی
- به
- تحقیق
- IOS
- موضوع
- مسائل
- IT
- ITS
- جفری
- JPG
- صفحه کلید
- آزمایشگاه
- آزمایشگاه
- نام
- پارسال
- کمترین
- کوچک
- محلی
- ورود
- طولانی
- نگاه
- سرزمین اصلی
- سرزمین اصلی چین
- سازندگان
- روش
- تولید کنندگان
- توده
- پیام
- روش
- قدرت
- میلیون
- موبایل
- دستگاه موبایل
- دستگاه های تلفن همراه
- چندگانه
- سازمان ملل
- شبکه
- ترافیک شبکه
- جدید
- نیوزیلند
- نه نفر
- نه
- اشاره کرد
- of
- ارائه شده
- پیشنهادات
- on
- ONE
- باز کن
- oppo
- گزینه
- or
- دیگر
- در غیر این صورت
- خارج
- روی
- خود
- ویژه
- غیر فعال
- مردم
- متن ساده
- افلاطون
- هوش داده افلاطون
- PlatoData
- پیش گویی
- قبلی
- خلوت
- حریم خصوصی و امنیت
- مشکل
- اهداف
- خواندن
- بهبود یافتن
- مربوط
- باقی مانده
- محصول
- گزارش
- شهرت
- نیاز
- تحقیق
- محققان
- رمان
- s
- سعید
- سامسونگ
- حوزه
- تیم امنیت لاتاری
- فروش
- در حال ارسال
- فرستاده
- جداگانه
- سرویس
- خدمات
- باید
- نشان داد
- طرف
- سیگنال
- مشابه
- جامعه
- نرم افزار
- توسعه دهندگان نرم افزار
- برخی از
- پیچیدگی
- مهاجرت تحصیلی
- چنین
- نظارت
- هدف قرار
- فنی
- Tencent به
- متن
- که
- La
- شان
- آنها
- اینها
- آنها
- شخص ثالث
- این
- این هفته
- سه
- به
- تورنتو
- ترافیک
- تبدیل
- دو
- همه جا
- Uk
- ناتوان
- غیر معمول
- کشف
- زیر
- دانشگاه
- us
- استفاده کنید
- استفاده
- کاربر
- کاربران
- با استفاده از
- فروشنده
- فروشندگان
- نسخه
- بسیار
- از طريق
- داخل بدن
- آسیب پذیری ها
- آسیب پذیری
- آسیب پذیر
- وانگ
- we
- نقاط ضعف
- هفته
- خوب
- بود
- که
- WHO
- پنجره
- با
- بدون
- تعجب
- کلمات
- کارگر
- خواهد بود
- نوشت
- Xiaomi
- سال
- سال
- زلال
- زفیرنت