Bestimmte Apps auf iOS- und Huawei-Geräten gelten als sicher, andere Apps ermöglichen jedoch möglicherweise passives Schnüffeln.
Zusamenfassend
- Verschlüsselungsfehler in chinesischen Apps gefährden die Gefahr von Schnüffeln.
- Android- und Windows-Programme haben Schwächen, iOS-Apps sind jedoch sicher.
- Für einige Benutzer kann es schwierig sein, das Abhörrisiko zu begrenzen.
Forscher haben in der Cloud-basierten Pinyin-Eingabesoftware von acht Firmen erhebliche Verschlüsselungsschwächen identifiziert, die das Abhören ermöglichen könnten. Obwohl es keine Hinweise darauf gibt, dass die Sicherheitslücken regelmäßig ausgenutzt werden, weisen frühere Ereignisse darauf hin, dass dies ein potenziell großes Problem darstellt.
Die chinesische Schrift enthält Hunderte verschiedener Zeichen, die niemals auf Standardtastaturen passen würden, was den Einsatz alternativer Eingabemethoden (IMEs) erforderlich macht.
Alle exponierten Cloud-Produkte nutzten Pinyin-Systeme, bei denen Benutzer phonetische Aussprachen im römischen Alphabet eintippten und dann aus einer Liste gleichwertiger Symbole wählten.
Seit Jahrzehnten verarbeiten Betriebssystemhersteller und Drittentwickler chinesische IMEs vollständig auf dem Gerät, aber Cloud-Dienste erkennen die richtigen Zeichen möglicherweise besser.
Normalerweise birgt jedes internetbasierte Tipptool Gefahren, aber Firmen, die cloudbasierte Pinyin-Apps anbieten, gewährleisten die Privatsphäre der Benutzer durch Verschlüsselung.
Forscher der University of Toronto untersuchten die Sicherheit von Anwendungen von neun Unternehmen:
Diese Marken waren in der Lage, Tastenanschläge von allen außer dem Huawei-Tool effektiv zu lesen und potenziell jede Eingabe für Lauscher preiszugeben. Einige der Mängel können dazu führen, dass Daten völlig passiven Schnüfflern zugänglich gemacht werden.
Bemerkenswert ist, dass die Forscher keine Schwachstellen in iOS-Apps entdeckten, da Apple die Tastaturanwendungen der Plattform automatisch in eine Sandbox umwandelt. Um iPhone-Tastaturanwendungen den Zugriff auf und die Übertragung von Daten zu ermöglichen, ist eine ausdrückliche Zustimmung des Benutzers erforderlich.
Vergleichbare Android- und Windows-Programme wurden hingegen als deutlich weniger sicher eingestuft. Android-Benutzer können auswählen, ob Tastaturen eine Verbindung zum Internet herstellen. Die Forscher stellten jedoch fest, dass die entsprechenden Steuerelemente für bestimmte Benutzer möglicherweise schwer zu finden sind.
Nachdem die Forscher alle neun Anbieter benachrichtigt hatten, erstellten die meisten Patches, um die Probleme zu beheben. Es bestehen jedoch weiterhin Verschlüsselungsschwächen in den Anwendungen von Baidu, der Tastatur von Honor und dem QQ-Pinyin-Dienst von Tencent. Darüber hinaus führten die Forscher Dutzende vergleichbarer Apps an, die sie nicht bewerten konnten, die aber möglicherweise die gleichen Mängel aufweisen könnten.
Die Forscher äußerten Bedenken, unter anderem wegen früherer Vorfälle im Zusammenhang mit staatlicher Spionage. Laut der Studie haben die Five Eyes – eine aus den Vereinigten Staaten, dem Vereinigten Königreich, Kanada, Australien und Neuseeland bestehende Organisation zum Informationsaustausch – ähnliche Schwachstellen in chinesischen Anwendungen ausgenutzt, um Benutzer auszuspionieren.