Alcune app sui dispositivi iOS e Huawei sono state ritenute sicure, ma altre app potrebbero potenzialmente consentire lo snooping passivo.
In breve
- I difetti di crittografia nelle app cinesi mettono gli utenti a rischio di spionaggio.
- I programmi Android e Windows presentano punti deboli, ma le app iOS sono sicure.
- Alcuni utenti potrebbero avere difficoltà a limitare la propria esposizione alle intercettazioni.
I ricercatori hanno identificato importanti punti deboli di crittografia nel software di input pinyin basato su cloud di otto aziende, che potrebbero consentire l'intercettazione. Anche se non vi è alcuna indicazione che le vulnerabilità vengano sfruttate regolarmente, gli eventi precedenti lo evidenziano come una preoccupazione potenzialmente importante.
La scrittura cinese contiene centinaia di caratteri diversi che non potrebbero mai adattarsi alle tastiere standard, rendendo necessario l'uso di metodi di input alternativi (IME).
Tutti i prodotti cloud esposti utilizzavano sistemi pinyin, in cui gli utenti digitavano pronunce fonetiche nell'alfabeto romano e poi sceglievano da un elenco di simboli equivalenti.
Per decenni, i produttori di sistemi operativi e gli sviluppatori di terze parti hanno elaborato gli IME cinesi interamente sul dispositivo, ma i servizi cloud sono in grado di riconoscere i caratteri giusti in modo più corretto.
Normalmente, qualsiasi strumento di digitazione basato su Internet presenta un pericolo intrinseco, ma le aziende che forniscono app pinyin basate su cloud garantiscono la privacy degli utenti attraverso la crittografia.
I ricercatori dell’Università di Toronto hanno esaminato la sicurezza delle applicazioni di nove aziende:
Questi marchi sono stati in grado di leggere in modo efficace le sequenze di tasti di tutti tranne lo strumento Huawei, rivelando potenzialmente ogni input agli intercettatori. Alcuni dei difetti possono esporre i dati a ficcanaso completamente passivi.
In particolare, i ricercatori non hanno scoperto punti deboli nelle app iOS perché Apple esegue automaticamente il sandboxing delle applicazioni per tastiera della piattaforma. Per consentire alle applicazioni della tastiera dell'iPhone di accedere e trasferire dati è necessario il consenso esplicito dell'utente.
Nel frattempo, programmi Android e Windows comparabili sono stati valutati molto meno sicuri. Gli utenti Android possono selezionare se le tastiere si connettono a Internet, ma i ricercatori hanno scoperto che i controlli appropriati potrebbero essere difficili da individuare per alcuni utenti.
Dopo che i ricercatori hanno informato tutti e nove i fornitori, la maggior parte ha apportato patch per risolvere i problemi, ma rimangono punti deboli nella crittografia nelle applicazioni di Baidu, nella tastiera di Honor e nel servizio QQ Pinyin di Tencent. Inoltre, i ricercatori hanno citato decine di app comparabili che non sono stati in grado di valutare ma che potrebbero presentare gli stessi difetti.
I ricercatori hanno espresso preoccupazione, in parte a causa di precedenti incidenti riguardanti lo spionaggio governativo. Secondo lo studio, i Five Eyes – un’organizzazione di condivisione dell’intelligence composta da Stati Uniti, Regno Unito, Canada, Australia e Nuova Zelanda – hanno sfruttato difetti simili nelle applicazioni cinesi per curiosare sugli utenti.