Aplicativos de teclado usados ​​por um bilhão de usuários apresentam uma falha que expõe as teclas digitadas

A falha foi encontrada em aplicativos de teclado usados ​​para inserir caracteres chineses usando o sistema de escrita pinyin. Os pesquisadores analisaram aplicativos de nove fornecedores – Baidu, Honor, Huawei, iFlytek, OPPO, Samsung, Tencent, Vivo e Xiaomi. Os dispositivos examinados foram vendidos na China.

Verificou-se que o teclado Samsung não realizava nenhum tipo de criptografia e a maioria dos outros não usava criptografia assimétrica.

Como criar teclados que permitam aos usuários digitar caracteres chineses de forma rápida e fácil é um desafio, muitos desses aplicativos, incluindo aqueles que os pesquisadores analisaram, oferecem previsão baseada em nuvem. A inclusão desse recurso significa que tudo o que for digitado será enviado para servidores em outros lugares.

De todos os aplicativos de teclado pinyin analisados ​​pelo Citizen Lab, descobriu-se que todos, exceto os da Huawei, tinham vulnerabilidades que poderiam ser exploradas para revelar o que um usuário estava digitando. A falha basicamente transforma teclados baseados em nuvem em keyloggers.

As vulnerabilidades podem ser exploradas por um bisbilhoteiro passivo da rede sem qualquer interferência no canal de comunicação, tornando-as difíceis de detectar.

Falhas como essas, que permitem ler o que alguém digita em seu dispositivo, podem ser do interesse de vários atores, incluindo agências de inteligência governamentais. Os investigadores temem que não tenham sido os primeiros a descobrir as vulnerabilidades e que possam ter sido exploradas para fins de vigilância.

Os pesquisadores acreditam que até um bilhão de usuários podem ter sido afetados por esta e outra vulnerabilidade semelhante. As vulnerabilidades foram relatadas a todos os fornecedores e a maioria deles as corrigiu.

O relatório observa que nem os aplicativos de teclado da Apple nem do Google transmitem as teclas digitadas para servidores em nuvem.

Se você não quer que ninguém descubra o que você digita no seu telefone, é recomendável usar os teclados do dispositivo e manter seus aplicativos e sistemas operacionais atualizados.