Laut einem neuen Bericht wurden chinesischsprachige Tastaturen, die anfällig für Spionage und Abhören sind, von 1 Milliarde Smartphone-Nutzern verwendet. Die weit verbreiteten Bedrohungen, die diese durchgesickerten Systeme aufdecken, könnten auch eine neue Art von Exploit für Cyberangriffe darstellen, unabhängig davon, ob das Gerät eine chinesische Tastatur, eine englische Tastatur oder eine andere verwendet.
Letztes Jahr veröffentlichte das Citizen Lab der University of Toronto eine Studie über ein proprietäres chinesisches Tastatursystem des in Shenzhen ansässigen Technologieriesen Tencent. Der „Sogou Keyboard“-Bericht von Citizen Lab deckte das breite Spektrum möglicher Tastaturangriffe auf, durch die die Tastendrücke eines Benutzers an Abhörer weitergegeben werden könnten. In der neuen Studie der Gruppe, die letzte Woche veröffentlicht wurde, stellten dieselben Forscher nun fest, dass praktisch alle der weltweit beliebtesten chinesischen Smartphone-Tastaturen ähnliche Schwachstellen aufweisen.
„Was auch immer chinesische Benutzer Ihrer App in Ihre App eingegeben haben, ist seit Jahren offengelegt.“ –Jedidiah Crandall, Arizona State University
Und während die in beiden Berichten aufgedeckten spezifischen Fehler in den meisten Fällen behoben wurden, zeigen die Ergebnisse der Forscher – und insbesondere ihre Empfehlungen – viel größere Lücken in den Systemen auf, die sich auf Software erstrecken, die auf der ganzen Welt entwickelt wird, unabhängig von der Sprache. .
„Alle diese Tastaturen verwendeten auch benutzerdefinierte Netzwerkprotokolle“, sagt Mona Wang, die in Informatik promoviert ist. Student an der Princeton University und Co-Autor des Berichts. „Da ich diese Art von benutzerdefinierten Netzwerkprotokollen bereits studiert hatte, wurde mir sofort klar, dass etwas wirklich Schreckliches vor sich ging.“
Jedidiah Crandall, außerordentliche Professorin für Informatik und Augmented Intelligence an der Arizona State University in Tempe, die bei der Erstellung des Berichts konsultiert wurde, aber nicht Teil des Forschungsteams war, sagt, dass diese Schwachstellen für fast jeden Programmierer oder jedes Entwicklungsteam, das veröffentlicht, von Bedeutung sind ihre Arbeit auf der Website. Welt. „Wenn Sie Entwickler einer datenschutzorientierten Chat-App oder einer App sind, die gesundheitsbezogene Informationen verfolgt, ist alles, was die chinesischen Benutzer Ihrer App möglicherweise eingegeben haben, seit Jahren offengelegt“, sagt -he.
Das chinesische Tastaturproblem
Chinesisch, eine Sprache, die aus Zehntausenden von Zeichen besteht und von denen rund 4.000 oder mehr gebräuchlich sind, stellt eine besondere Herausforderung für die Tastaturbedienung dar. Im digitalen Zeitalter wurde eine Reihe verschiedener Tastatursysteme entwickelt, die manchmal auch Pinyin-Tastaturen genannt werden, benannt nach einem beliebten Romanisierungssystem für Standardchinesisch. Im Idealfall ermöglichen diese kreativen Ansätze zur digitalen Eingabe die Phonetisierung und direkte Transliteration äußerst komplexer Sprache über ein kompaktes Tastaturformat, oft im QWERTY-Stil.
„Selbst sachkundige und gut ausgestattete Leute verstehen die Verschlüsselung falsch, weil es sehr schwierig ist, sie richtig zu machen.“ –Mona Wang, Princeton University
Computer- und KI-Intelligenz können dabei helfen, Tastendrücke auf dem Bildschirm in chinesische Schriftzeichen umzuwandeln. Bei chinesischen Tastaturen ist jedoch oft viel Hin und Her über das Internet zwischen Cloud-Servern und anderen vernetzten Hilfsanwendungen erforderlich, nur um einen Chinesisch sprechenden Menschen in die Lage zu versetzen, die Zeichen einzugeben.
Laut dem Bericht – und einer von den Forschern veröffentlichten FAQ, in der die technischen Punkte in einfacher Sprache erläutert werden – untersuchten chinesische Tastaturen alle verwendeten Zeichenvorhersagefunktionen, die wiederum auf Cloud-Computing-Ressourcen angewiesen waren. Forscher fanden heraus, dass eine schlecht sichere Kommunikation zwischen der Tastatur-App eines Geräts und diesen externen Cloud-Servern dazu führte, dass die Tastenanschläge der Benutzer (und damit ihre Nachrichten) während der Übertragung zugänglich waren.
Laut Jeffrey Knockel, leitender wissenschaftlicher Mitarbeiter am Citizen Lab und Mitautor des Berichts, ist die cloudbasierte Zeichenvorhersage eine besonders attraktive Funktion für Tastaturen in chinesischer Sprache, angesichts der großen Bandbreite möglicher Zeichen, die eine bestimmte QWERTZ-Eingabesequenz ansprechen könnte vertreten. . „Wenn Sie Englisch oder eine andere Sprache eingeben, in der es auf der Tastatur genügend Tasten für alle Ihre Buchstaben gibt, ist es bereits eine viel einfachere Aufgabe, eine Tastatur zu entwerfen, als in einer ideografischen Sprache, in der Sie möglicherweise mehr als 10.000 Zeichen haben“, sagt er.
Bei Tastaturen in chinesischer Sprache handelt es sich häufig um „Pinyin-Tastaturen“, mit denen Tausende von Zeichen im QWERTY-Stil eingegeben werden können.Zamœux/Wikimedia
Sarah Scheffler, Postdoktorandin am MIT, sagte auch, sie sei besorgt über andere Arten von Datenschwachstellen, die im Citizen Lab-Bericht aufgedeckt wurden, über Tastaturen und chinesischsprachige Anwendungen hinaus. „Die Schwachstellen [identified by the report] sind überhaupt nicht spezifisch für Pinyin-Tastaturen“, sagt sie. „Dies gilt für jede Anwendung, die Daten über das Internet sendet. Jede Anwendung, die unverschlüsselte oder schlecht verschlüsselte Informationen sendet, hätte ähnliche Probleme.
Laut Wang besteht das Hauptproblem, das die Forscher entdeckt haben, darin, dass eine große Anzahl chinesischer Tastaturprotokolle Daten mit minderwertiger und manchmal benutzerdefinierter Verschlüsselung übertragen.
„Diese Verschlüsselungsprotokolle werden wahrscheinlich von sehr, sehr sachkundigen und gut ausgestatteten Leuten entwickelt“, sagt Wang. „Aber selbst sachkundige und gut ausgestattete Leute verstehen die Verschlüsselung falsch, weil es wirklich schwierig ist, sie richtig zu machen.“
Jenseits offengelegter Schwachstellen
Scheffler hebt die Tests, Iterationen und Entwicklungen des Transport Layer Security (TLS)-Systems hervor, das einem Großteil der sicheren Kommunikation im Internet zugrunde liegt, einschließlich Websites, die Hypertext Transfer Protocol Secure (HTTPS) verwenden. (Die erste Version von TLS wurde 1999 spezifiziert und veröffentlicht.) „Alle diese chinesischen Internetunternehmen starten ihre eigenen [cryptography] Oder wenn sie ihre eigenen Verschlüsselungsalgorithmen verwenden, verpassen sie gewissermaßen all die 20 Jahre der Entwicklung von Standardverschlüsselung“, sagt Wang.
Laut Crandall hat der Bericht möglicherweise auch versehentlich Annahmen über Sicherheitsprotokolle hervorgehoben, die nicht immer in jedem Winkel der Welt gelten. „Protokolle wie TLS gehen manchmal von Annahmen aus, die den Bedürfnissen von Entwicklern in bestimmten Regionen der Welt nicht gerecht werden“, sagt er. Er fügt beispielsweise hinzu, dass nicht auf TLS zugeschnittene Sicherheitssysteme attraktiver sein könnten, „wo die Netzwerkverzögerung hoch ist oder Menschen viel Zeit in Bereichen verbringen, in denen das Netzwerk nicht zugänglich ist“.
Laut Scheffler könnte das Problem mit der chinesischen Tastatur sogar eine Art Kanarienvogel im Kohlebergwerk für eine Reihe von Computersystemen, Smartphones und Software darstellen. Aufgrund ihrer Abhängigkeit von umfassender Internetkommunikation stellen diese Systeme, obwohl sie von Entwicklern möglicherweise übersehen oder in den Hintergrund gedrängt werden, auch potenzielle Angriffsflächen für die Cybersicherheit dar.
„Anekdotischerweise gehen viele dieser Sicherheitsmängel auf Gruppen zurück, die denken, dass sie nichts tun, was Sicherheit erfordert, oder nicht über viel Sicherheitsexpertise verfügen“, sagt Scheffler.
Scheffler identifiziert „prädiktive Texttastaturen im Internet in jeder Sprache und möglicherweise einige der internetbasierten KI-Funktionen, die sich im Laufe der Jahre in Anwendungen eingeschlichen haben“ als mögliche Orte, an denen sich Software-Sicherheitslücken verbergen, die denen ähneln, die das Citizen Lab-Team auf Chinesisch entdeckt hat . -sprachige Tastaturen. Zu dieser Kategorie könnten Spracherkennung, Text-to-Speech, Text-to-Speech und generative KI-Tools gehören, fügt sie hinzu.
„Sicherheit und Datenschutz stehen für viele Menschen nicht an erster Stelle, wenn sie ihre coole Bildbearbeitungs-App entwickeln“, sagt Scheffler. „Vielleicht sollte das nicht der erste Gedanke sein, aber es sollte auf jeden Fall so sein A darüber nachgedacht, wann die Anwendung die Benutzer erreicht.
Diese Geschichte wurde am 29. April 2024 aktualisiert.
Aus den Artikeln auf Ihrer Website
Verwandte Artikel im Internet