2024-04-26 01:09:18
Presque toutes les applications de clavier qui permettent aux utilisateurs de saisir des caractères chinois sur leur Android, iOS ou d’autres appareils mobiles sont vulnérables aux attaques qui permettent à un adversaire de capturer l’intégralité de leurs frappes.
Cela inclut des données telles que les identifiants de connexion, les informations financières et les messages qui autrement seraient cryptés de bout en bout, a découvert une nouvelle étude du Citizen Lab de l’Université de Toronto.
Problème omniprésent
Pour le étude, les chercheurs du laboratoire ont examiné les applications Pinyin basées sur le cloud (qui transforment les caractères chinois en mots orthographiés avec des lettres romaines) de neuf fournisseurs vendant aux utilisateurs en Chine : Baidu, Samsung, Huawei, Tencent, Xiaomi, Vivo, OPPO, iFlytek et Honor. . Leur enquête a montré que tous, à l’exception de l’application de Huawei, transmettaient les données de frappe au cloud d’une manière qui permettait à une écoute passive de lire le contenu en texte clair et avec peu de difficulté. Les chercheurs du Citizen Lab, qui ont acquis une réputation au fil des années pour avoir dénoncé de multiples cyberespionnages, surveillance et autres menaces destinés aux utilisateurs mobiles et à la société civile, ont déclaré que chacun d’eux contient au moins une vulnérabilité exploitable dans la façon dont ils gèrent les transmissions des frappes des utilisateurs vers le cloud.
L’ampleur des vulnérabilités ne doit pas être sous-estimée, ont écrit les chercheurs du Citizen Lab Jeffrey Knockel, Mona Wang et Zoe Reichert dans un rapport résumant leurs conclusions cette semaine : Les chercheurs du Citizen Lab ont découvert que 76 % des utilisateurs d’applications pour clavier en Chine continentale, en fait, utilisez un clavier Pinyin pour saisir des caractères chinois.
“Toutes les vulnérabilités que nous avons couvertes dans ce rapport peuvent être exploitées de manière entièrement passive sans envoyer de trafic réseau supplémentaire”, ont déclaré les chercheurs. Et pour démarrer, les vulnérabilités sont faciles à découvrir et ne nécessitent aucune sophistication technologique pour être exploitées, ont-ils noté. « En tant que tel, nous pourrions nous demander si ces vulnérabilités sont activement exploitées à grande échelle ?
Chacune des applications de clavier Pinyin vulnérables examinées par Citizen Lab disposait à la fois d’un composant local sur l’appareil et d’un service de prédiction basé sur le cloud pour gérer les longues chaînes de syllabes et les caractères particulièrement complexes. Sur les neuf applications examinées, trois provenaient de développeurs de logiciels mobiles : Tencent, Baidu et iFlytek. Les cinq autres étaient des applications que Samsung, Xiaomi, OPPO, Vivo et Honor – tous des fabricants d’appareils mobiles – avaient soit développées elles-mêmes, soit intégrées à leurs appareils par un développeur tiers.
Exploitable via des méthodes actives et passives
Les méthodes d’exploitation diffèrent pour chaque application. L’application QQ Pinyin de Tencent pour Android et Windows, par exemple, présentait une vulnérabilité qui a permis aux chercheurs de créer un exploit fonctionnel pour décrypter les frappes au clavier via des méthodes d’écoute actives. L’IME de Baidu pour Windows contenait une vulnérabilité similaire, pour laquelle Citizen Lab a créé un exploit fonctionnel pour déchiffrer les données de frappe via des méthodes d’écoute actives et passives.
Les chercheurs ont découvert d’autres failles de confidentialité et de sécurité liées au chiffrement dans les versions iOS et Android de Baidu, mais n’ont pas développé d’exploits pour celles-ci. L’application d’iFlytek pour Android présentait une vulnérabilité qui permettait à un espion passif de récupérer les transmissions au clavier en texte clair en raison d’un cryptage mobile insuffisant.
Du côté du fournisseur de matériel, l’application de clavier développée par Samsung n’offrait aucun cryptage et envoyait à la place des transmissions de frappes en clair. Samsung offre également aux utilisateurs la possibilité d’utiliser l’application Sogou de Tencent ou une application de Baidu sur leurs appareils. Parmi les deux applications, Citizen Lab a identifié l’application clavier de Baidu comme étant vulnérable aux attaques.
Les chercheurs n’ont pu identifier aucun problème avec l’application de clavier Pinyin développée en interne par Vivo, mais ils ont découvert un exploit fonctionnel pour une vulnérabilité découverte dans une application Tencent également disponible sur les appareils de Vivo.
Les applications Pinyin tierces (de Baidu, Tencent et iFlytek) disponibles avec les appareils d’autres fabricants d’appareils mobiles présentaient également des vulnérabilités exploitables.
Il s’avère que ce ne sont pas des problèmes rares. L’année dernière, Citizen Labs avait mené une enquête distincte sur Sogou de Tencent – utilisé par quelque 450 millions de personnes en Chine – et découvert des vulnérabilités qui exposaient les frappes au clavier à des attaques d’écoute clandestine.
“En combinant les vulnérabilités découvertes dans ce rapport et dans notre précédent rapport analysant les applications de clavier de Sogou, nous estimons que jusqu’à un milliard d’utilisateurs sont affectés par ces vulnérabilités”, a déclaré Citizen Lab.
Ces vulnérabilités pourraient permettre une surveillance massive des utilisateurs d’appareils mobiles chinois – y compris par les services de renseignement électromagnétique appartenant aux nations dites Five Eyes – États-Unis, Royaume-Uni, Canada, Australie et Nouvelle-Zélande – a déclaré Citizen Lab ; Les vulnérabilités des applications de clavier découvertes par Citizen Lab dans ses nouvelles recherches sont très similaires aux vulnérabilités du navigateur UC développé en Chine et exploitées par les agences de renseignement de ces pays à des fins de surveillance, note le rapport.
#Les #applications #clavier #chinois #ouvrent #porte #milliard #personnes #aux #écoutes #clandestines
1714089321
