iOS ve Huawei cihazlarındaki belirli uygulamaların güvenli olduğu kabul edildi ancak diğer uygulamalar potansiyel olarak pasif gözetlemeyi etkinleştirebilir.
Kısacası
- Çin uygulamalarındaki şifreleme kusurları, kullanıcıları gözetleme riskiyle karşı karşıya bırakıyor.
- Android ve Windows programlarının zayıf yönleri vardır ancak iOS uygulamaları güvenlidir.
- Bazı kullanıcılar, gizlice dinlemeye maruz kalma durumlarını sınırlamayı zor bulabilir.
Araştırmacılar, sekiz firmanın bulut tabanlı pinyin giriş yazılımında gizli dinlemeye izin verebilecek önemli şifreleme zayıflıkları tespit etti. Her ne kadar güvenlik açıklarından düzenli olarak yararlanıldığına dair bir gösterge olmasa da, önceki olaylar bunun potansiyel olarak büyük bir endişe kaynağı olduğunu vurguluyor.
Çince yazı, standart klavyelere asla sığmayacak yüzlerce farklı karakter içerir ve bu da alternatif giriş yöntemlerinin (IME'ler) kullanılmasını gerektirir.
Açığa çıkan tüm bulut ürünleri, kullanıcıların Latin alfabesindeki fonetik telaffuzları yazdığı ve ardından eşdeğer semboller listesinden seçim yaptığı pinyin sistemlerini kullanıyordu.
Onlarca yıldır, işletim sistemi üreticileri ve üçüncü taraf geliştiriciler Çin IME'lerini tamamen cihaz üzerinde işlemektedir, ancak bulut hizmetleri doğru karakterleri daha doğru bir şekilde ayırt edebilir.
Normalde, herhangi bir internet tabanlı yazma aracının doğası gereği tehlike vardır, ancak bulut tabanlı pinyin uygulamaları sağlayan firmalar, şifreleme yoluyla kullanıcı gizliliğini sağlar.
Toronto Üniversitesi'nden araştırmacılar dokuz şirketin uygulamalarının güvenliğini inceledi:
Bu markalar, Huawei aracı dışındaki tüm tuş vuruşlarını etkili bir şekilde okuyabildiler ve potansiyel olarak her girişi kulak misafiri olanlara ifşa edebildiler. Bazı kusurlar, verilerin tamamen pasif meraklıların eline geçmesine neden olabilir.
Araştırmacıların iOS uygulamalarında herhangi bir zayıflık keşfetmemesi dikkat çekicidir çünkü Apple, platformun klavye uygulamalarını otomatik olarak korumalı alana alır. iPhone klavye uygulamalarının verilere erişmesine ve bunları aktarmasına izin vermek, kullanıcının açık iznini gerektirir.
Bu arada, karşılaştırılabilir Android ve Windows programlarının çok daha az güvenli olduğu değerlendirildi. Android kullanıcıları klavyelerin internete bağlanıp bağlanmayacağını seçebilir ancak araştırmacılar, bazı kullanıcıların uygun kontrolleri bulmasının zor olabileceğini keşfetti.
Araştırmacılar dokuz tedarikçinin tamamını bilgilendirdikten sonra çoğunluk sorunları çözmek için yamalar yaptı ancak Baidu'nun uygulamalarında, Honor'un klavyesinde ve Tencent'in QQ Pinyin hizmetinde şifreleme zayıflıkları devam ediyor. Dahası, araştırmacılar değerlendiremedikleri ancak potansiyel olarak aynı kusurlara sahip olabilecek düzinelerce karşılaştırılabilir uygulamadan bahsetti.
Araştırmacılar, kısmen hükümet casusluğunu içeren önceki olaylar nedeniyle endişelerini dile getirdi. Araştırmaya göre, ABD, İngiltere, Kanada, Avustralya ve Yeni Zelanda'dan oluşan bir istihbarat paylaşım kuruluşu olan Five Eyes, kullanıcıları gözetlemek için Çin uygulamalarındaki benzer kusurlardan yararlandı.