Apl tertentu pada peranti iOS dan Huawei telah dianggap selamat, tetapi apl lain mungkin berpotensi mendayakan pengintipan pasif.
Pendek kata
- Kepincangan penyulitan dalam apl Cina menyebabkan pengguna berisiko mengintip.
- Program Android dan Windows mempunyai kelemahan, tetapi apl iOS adalah selamat.
- Sesetengah pengguna mungkin merasa sukar untuk mengehadkan pendedahan mereka kepada mencuri dengar.
Penyelidik telah mengenal pasti kelemahan penyulitan utama dalam perisian input pinyin berasaskan awan lapan firma, yang mungkin membenarkan penyadapan. Walaupun tidak ada petunjuk bahawa kelemahan kerap dieksploitasi, peristiwa sebelumnya menyerlahkan ini sebagai kebimbangan utama yang berpotensi.
Tulisan Cina mengandungi ratusan aksara berbeza yang tidak akan muat pada papan kekunci standard, yang memerlukan penggunaan kaedah input alternatif (IME).
Semua produk awan terdedah menggunakan sistem pinyin, di mana pengguna menaip sebutan fonetik dalam abjad Rom dan kemudian memilih daripada senarai simbol yang setara.
Selama beberapa dekad, pembuat sistem pengendalian dan pembangun pihak ketiga telah memproses IME Cina sepenuhnya pada peranti, tetapi perkhidmatan awan mungkin membezakan aksara yang betul dengan lebih betul.
Biasanya, mana-mana alat menaip berasaskan internet mempunyai bahaya yang wujud, tetapi firma yang menyediakan aplikasi pinyin berasaskan awan memastikan privasi pengguna melalui penyulitan.
Penyelidik dari Universiti Toronto meneliti keselamatan permohonan daripada sembilan syarikat:
Jenama ini dapat membaca ketukan kekunci dengan berkesan daripada semua alat penjimatan Huawei, yang berpotensi mendedahkan setiap input kepada pendengar. Beberapa kelemahan boleh mendedahkan data kepada pengintip pasif sepenuhnya.
Terutamanya, para penyelidik tidak menemui kelemahan dalam aplikasi iOS kerana Apple secara automatik mengosongkan aplikasi papan kekunci platform. Membenarkan aplikasi papan kekunci iPhone mengakses dan memindahkan data memerlukan persetujuan pengguna yang jelas.
Sementara itu, program Android dan Windows yang setanding dinilai jauh kurang selamat. Pengguna Android boleh memilih sama ada papan kekunci bersambung ke Internet, tetapi penyelidik mendapati bahawa kawalan yang sesuai mungkin sukar untuk dikesan oleh pengguna tertentu.
Selepas penyelidik memaklumkan kesemua sembilan pembekal, majoriti membuat tampung untuk menangani isu tersebut, tetapi kelemahan penyulitan kekal dalam aplikasi Baidu, papan kekunci Honor dan perkhidmatan QQ Pinyin Tencent. Tambahan pula, para penyelidik memetik berpuluh-puluh aplikasi setanding yang mereka tidak dapat menilai tetapi mungkin mempunyai kelemahan yang sama.
Para penyelidik menimbulkan kebimbangan, sebahagiannya kerana insiden sebelumnya yang melibatkan pengintipan kerajaan. Menurut kajian itu, Five Eyes - sebuah organisasi perkongsian perisikan yang terdiri daripada Amerika Syarikat, United Kingdom, Kanada, Australia dan New Zealand - telah mengeksploitasi kelemahan yang sama dalam aplikasi China untuk mengintip pengguna.