ユーザーが Android、iOS、またはその他のモバイル デバイスに漢字を入力できるようにするほぼすべてのキーボード アプリは、攻撃者がキーストローク全体をキャプチャできる攻撃に対して脆弱です。
これには、エンドツーエンドで暗号化されるログイン認証情報、財務情報、メッセージなどのデータが含まれていることが、トロント大学のシチズンラボによる新たな研究で明らかになりました。
ユビキタスな問題
研究同研究所の研究者らは、中国のユーザーに販売している9つのベンダー(Baidu、Samsung、Huawei、Tencent、Xiaomi、Vivo、OPPO、iFlytek、Honor)のクラウドベースのピンインアプリ(漢字をローマ字綴りの単語に変換するアプリ)を検討した。 。彼らの調査では、ファーウェイのアプリを除くすべてのアプリが、受動的盗聴者がクリアテキストでほとんど困難なく内容を読み取ることを可能にする方法でキーストロークデータをクラウドに送信していることが判明した。 Citizen Lab の研究者は、長年にわたり複数のサイバースパイ行為を暴露することで名声を博しており、 監視およびその他の脅威 モバイルユーザーと市民社会をターゲットにしたもので、それぞれの製品にはユーザーのキーストロークのクラウドへの送信の処理方法に悪用可能な脆弱性が少なくとも1つ含まれているという。
脆弱性の範囲を過小評価すべきではないと、Citizen Lab の研究者である Jeffrey Knockel、Mona Wang、Zoe Reichert は今週、調査結果をまとめたレポートの中で次のように書いています。 Citizen Lab の研究者らは、中国本土のキーボード アプリ ユーザーの 76% が実際に中国語の文字を入力するにはピンイン キーボードを使用します。
「このレポートで取り上げたすべての脆弱性は、追加のネットワーク トラフィックを送信することなく完全に受動的に悪用される可能性があります」と研究者らは述べています。さらに、この脆弱性は発見するのが簡単であり、悪用するために高度な技術を必要としないと彼らは指摘しました。 「そのため、これらの脆弱性が積極的に大規模悪用されているのではないかと疑問に思うかもしれません。」
Citizen Lab が調査した脆弱なピンイン キーボード アプリはそれぞれ、ローカルのデバイス上のコンポーネントと、長い音節文字列や特に複雑な文字を処理するためのクラウドベースの予測サービスの両方を備えていました。彼らが調査した 9 つのアプリのうち、3 つはモバイル ソフトウェア開発者 (Tencent、Baidu、iFlytek) によるものでした。残りの 5 つは、Samsung、Xiaomi、OPPO、Vivo、Honor (すべてモバイル デバイス メーカー) が自社で開発したか、サードパーティの開発者から自社のデバイスに統合されたアプリでした。
アクティブおよびパッシブな方法で悪用可能
悪用の手口はアプリごとに異なります。たとえば、Tencent の Android および Windows 用 QQ Pinyin アプリには脆弱性があり、研究者らはこれを利用してアクティブな盗聴手法を介してキーストロークを復号する実用的なエクスプロイトを作成できました。 Baidu の Windows 用 IME にも同様の脆弱性が含まれており、Citizen Lab はアクティブおよびパッシブ盗聴方法の両方を介してキーストローク データを復号化する実用的なエクスプロイトを作成しました。
研究者らは、Baidu の iOS および Android バージョンで、暗号化に関連するプライバシーとセキュリティの他の弱点を発見しましたが、それらに対するエクスプロイトは開発しませんでした。 Android 用 iFlytek アプリには、受動的盗聴者が平文キーボード送信で回復できる脆弱性がありました。 モバイル暗号化.
ハードウェア ベンダー側では、Samsung 製の自社製キーボード アプリは暗号化をまったく提供せず、キーストロークの送信を平文で送信していました。 Samsung はまた、Tencent の Sogou アプリまたは Baidu のアプリを自分のデバイスで使用するオプションをユーザーに提供しています。 Citizen Lab は、2 つのアプリのうち、Baidu のキーボード アプリが攻撃に対して脆弱であると特定しました。
研究者らは、Vivo が社内で開発したピンイン キーボード アプリの問題を特定できませんでしたが、Vivo のデバイスでも利用できる Tencent アプリで発見した脆弱性を悪用する機能を持っていました。
他のモバイル デバイス メーカーのデバイスで利用できるサードパーティの Pinyin アプリ (Baidu、Tencent、iFlytek 製) にも同様に悪用可能な脆弱性がありました。
これらは珍しい問題ではないことがわかりました。昨年、Citizen Labs は、中国の約 450 億 XNUMX 万人が使用している Tencent の Sogou について別の調査を実施し、キー入力を盗聴攻撃にさらす脆弱性を発見しました。
「今回発見された脆弱性と、Sogou のキーボード アプリを分析した前回のレポートを組み合わせると、最大 10 億人のユーザーがこれらの脆弱性の影響を受けると推定されます」と Citizen Lab は述べています。
脆弱性により、 大量監視を可能にする 米国、英国、カナダ、オーストラリア、ニュージーランドのいわゆるファイブ・アイズ諸国に属する信号諜報機関を含む、中国のモバイル機器ユーザーの割合をシチズン・ラボが発表した。シチズン・ラボが新たな調査で発見したキーボードアプリの脆弱性は、これらの国の諜報機関が監視目的で悪用した中国開発のUCブラウザーの脆弱性と非常に似ていると報告書は指摘している。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/endpoint-security/most-chinese-keyboard-apps-vulnerable-to-eavesdropping
- :持っている
- :は
- :not
- $UP
- 1b
- a
- アクティブ
- 積極的に
- NEW
- 敵
- 影響を受けました
- 機関
- すべて
- 許す
- 許可されて
- また
- an
- 分析する
- および
- アンドロイド
- どれか
- アプリ
- アプリ
- です
- AS
- At
- 攻撃
- 攻撃
- オーストラリア
- 利用できます
- Baiduの
- BE
- なぜなら
- さ
- 所属
- 10億
- 両言語で
- ブラウザ
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- by
- 缶
- カナダ
- キャプチャー
- 文字
- 中国
- 中国語
- 市民
- 市民の
- クリア
- クラウド
- 結合
- 複雑な
- コンポーネント
- 実施
- 見なさ
- 含む
- 含まれている
- 中身
- 可能性
- 国
- カバー
- 作ります
- 作成した
- Credentials
- サイバー
- データ
- 開発する
- 発展した
- Developer
- 開発者
- デバイス
- Devices
- DID
- 異なる
- 難しさ
- 発見する
- 発見
- do
- 各
- 獲得
- 簡単に
- どちら
- 使用可能
- では使用できません
- 暗号化
- 端から端まで
- 入力します
- 完全に
- 全体
- スパイ
- 推定
- エーテル(ETH)
- 悪用する
- 搾取
- 搾取
- エクスプロイト
- 露出した
- 視線
- 実際
- ファイナンシャル
- 財務情報
- 調査結果
- 五
- 発見
- から
- 持っていました
- ハンドル
- ハンドリング
- Hardware
- 持ってる
- 自家製
- 名誉
- 認定条件
- HTTPS
- Huawei社
- 特定され
- 識別する
- in
- 含ま
- 含めて
- 情報
- を取得する必要がある者
- 不十分
- 統合された
- インテリジェンス
- 内部で
- に
- 調査
- iOS
- 問題
- 問題
- IT
- ITS
- ジェフリー
- JPG
- キーボード
- ラボ
- ラボ
- 姓
- 昨年
- 最低
- 少し
- ローカル
- ログイン
- 長い
- 見
- 本土
- 中国本土
- メーカー
- 方法
- メーカー
- 質量
- メッセージ
- メソッド
- かもしれない
- 百万
- モバイル
- モバイル機器
- モバイルデバイス
- の試合に
- 国連
- ネットワーク
- ネットワークトラフィック
- 新作
- ニュージーランド
- 9
- いいえ
- 注意
- of
- 提供
- オファー
- on
- ONE
- 開いた
- OPPO
- オプション
- or
- その他
- さもないと
- でる
- が
- 自分の
- 特に
- パッシブ
- のワークプ
- 平文
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- 予測
- 前
- プライバシー
- プライバシーとセキュリティ
- 問題
- 目的
- 読む
- 回復する
- 関連する
- 残り
- レンダー
- レポート
- 評判
- 必要とする
- 研究
- 研究者
- ローマン
- s
- 前記
- サムスン
- スコープ
- セキュリティ
- 販売
- 送信
- 送信
- 別
- サービス
- サービス
- すべき
- 示されました
- 側
- 信号
- 同様の
- 社会
- ソフトウェア
- ソフトウェア開発者
- 一部
- 洗練された
- 勉強
- そのような
- 監視
- 対象となります
- 技術の
- テンセント
- 클라우드 기반 AI/ML및 고성능 컴퓨팅을 통한 디지털 트윈의 기초 – Edward Hsu, Rescale CPO 많은 엔지니어링 중심 기업에게 클라우드는 R&D디지털 전환의 첫 단계일 뿐입니다. 클라우드 자원을 활용해 엔지니어링 팀의 제약을 해결하는 단계를 넘어, 시뮬레이션 운영을 통합하고 최적화하며, 궁극적으로는 모델 기반의 협업과 의사 결정을 지원하여 신제품을 결정할 때 데이터 기반 엔지니어링을 적용하고자 합니다. Rescale은 이러한 혁신을 돕기 위해 컴퓨팅 추천 엔진, 통합 데이터 패브릭, 메타데이터 관리 등을 개발하고 있습니다. 이번 자리를 빌려 비즈니스 경쟁력 제고를 위한 디지털 트윈 및 디지털 스레드 전략 개발 방법에 대한 인사이트를 나누고자 합니다.
- それ
- アプリ環境に合わせて
- それら
- ボーマン
- 彼ら
- サードパーティ
- この
- 今週
- 三
- 〜へ
- トロント
- トラフィック
- ターン
- 2
- 遍在する
- Uk
- できません
- アンコモン
- 発見
- 下
- 大学
- us
- つかいます
- 中古
- ユーザー
- users
- ベンダー
- ベンダー
- バージョン
- 非常に
- 、
- 生体
- 脆弱性
- 脆弱性
- 脆弱な
- 王
- we
- 弱点
- 週間
- WELL
- した
- which
- 誰
- ウィンドウズ
- 無し
- 不思議
- 言葉
- ワーキング
- でしょう
- 書いた
- Xiaomi
- 年
- 年
- ニュージーランド
- ゼファーネット