Нещодавній звіт фахівців з кібербезпеки з Citizen Lab виявив суттєвий недолік безпеки в кількох популярних програмах для заміни стандартної клавіатури на смартфоні. Цей недолік піддає комунікації майже мільярд користувачів ризику несанкціонованого доступу, пише Gizmochina.
У звіті показано, що програми для клавіатури від відомих китайських компаній, включаючи Tencent (QQ Pinyin), Baidu (IME), iFlytek (IME), Samsung (Android Keyboard), Xiaomi (клавіатури Baidu, iFlytek та Sogou) та інших брендів виявилися вразливими для атак.
Недолік полягає в тому, що клавіатури передавали натискання клавіш в незашифрованому вигляді. Таким чином, будь-хто, хто здатний перехопити дані, потенційно може прочитати те, що користувач набирає на клавіатурі. Сюди входить абсолютно все: від звичайних текстових повідомлень до конфіденційної інформації, такої як паролі та дані кредитної картки. Розмір та обсяг скомпрометованих даних можуть бути величезними, зазначає джерело.
Дослідницька група виявила, що Huawei була єдиним виробником, у додатку для клавіатури якого не було вразливості. У звіті йдеться про те, що команда не змогла проаналізувати клавіатури Apple і Google, оскільки в їхніх додатках відсутні функції хмарного зв’язку. Також уточнюється, що на жодному з досліджених пристроїв не було встановлено програму клавіатури Google Gboard.
Є й хороша новина. Більшість виробників вирішили проблему з клавіатурами одразу після виявлення вразливості. Але програма QQ Pinyin від Honor і Tencent все ще знаходиться в процесі виправлення недоліку. Користувачам радять вчасно оновлювати свої пристрої та не встановлювати невідомі мобільні програми з неперевірених джерел.