Um levantamento da CitizenLab revelou uma informação preocupante para a segurança digital: ao analisar os teclados virtuais chineses de nove empresas – Baidu, Honor, Huawei, iFlytek, OPPO, Samsung, Tencent, Vivo e Xiaomi – foi revelado que oito deles têm uma vulnerabilidade que revela a apps espiões de rede os seus dados de digitação.
A informação é potencialmente perigosa e pode, de acordo com a estimativa da organização, afetar mais de um bilhão de pessoas, cujos históricos de digitação podem revelar informações privadas, como credenciais de acesso, números de cartões de crédito e qualquer tipo de privacidade que você reproduz ao tocar no teclado.
Veja também
Acessrios
17 Abr
Segurana
23 Abr
A única empresa analisada que não apresentou a falha foi a Huawei, mas todas as outras oito fabricantes ainda transmitiam dados de digitação em produtos específicos – essencialmente, os chamados cloud based keyboards: teclados conectados a uma aplicação específica com capacidades de se conectar à internet pela nuvem.
A premissa não é de todo nova: há alguns anos, a Razer revelou a conectividade de seu app Synapse (pré-instalado em vários acessórios – entre eles, os seus teclados) com a Alexa, para a inserção de comandos do tipo “mude a cor das luzes RGB do meu teclado”. Um pesquisador de segurança do Google revelou, dias depois do lançamento, que essa conectividade tinha uma brecha que permitia a execução remota de códigos maliciosos. A Razer corrigiu a falha via patch 24 horas depois da notícia correr.
Na pesquisa da CitizenLab, a situação parece ser mais preocupante, considerando que são vários os tipos de ataque que podem expor a fraqueza dos produtos e nem todos os teclados são físicos – alguns envolvem o uso no Android também. A organização de segurança fez uma lista:
- Tencent QQ Pinyin: vulnerável a um ataque chamado “CDC Padding Oracle”, capaz de recuperar digitações e colá-las em formato de texto
- Baidu IME: permite que apps de monitoramento de rede quebram a criptografia de transmissões online e extraiam o texto digitado no Windows graças a um bug no protocolo “BAIDUv3.1”
- iFlytek IME: o app do Android permite que apps de monitoramento de rede quebram a criptografia de transmissões online e extraiam o texto digitado
- Samsung Keyboard: no Android, ele transmite dados de digitação por meio de um protocolo HTTP sem nenhuma criptografia
- Xiaomi: sujeito aos mesmos ataques que afetam Baidu, Sogou e iFlytek por vir pré-instalado nesses modelos
- OPPO: sujeito aos mesmos ataques que afetam Baidu e Sogou por vir pré-instalado nesses modelos
- Vivo: sujeito aos mesmos ataques que afetam a Sogou por vir pré-instalado nesses modelos
- Honor: sujeito aos mesmos ataques que afetam o Baidu por vir pré-instalado nesses modelos
A Sogou não foi objeto de análise deste relatório, especificamente, mas apareceu como uma empresa afetada por brecha similar em um documento anterior da CitizenLab.
A situação ainda se tornava mais arriscada pela difícil detecção das falhas: normalmente, quando um hacker explora uma vulnerabilidade pela internet, é possível notar um aumento no tráfego de dados processados pela internet, já que o mau ator comumente precisa enviar pacotes de dados próprios (como em casos de execução remota de dados, por exemplo). Esse “pico” pode ser captado por alguns mecanismos de segurança.
Não é o caso aqui: pelo fato das falhas serem passivas, hackers não precisam enviar tráfego adicional à rede e, portanto, conseguem se manter mais escondidos – não “invisíveis”, apenas mais difíceis de serem encontrados.
Em termos práticos: a probabilidade de antecipar o ataque seria bem baixa, e ele provavelmente só seria notado durante a execução ou bem depois, com o estrago já feito.
A maioria das empresas (mas não todas) já corrigiu o problema
Seguindo os protocolos éticos de divulgação de falhas de segurança, a CitizenLab entrou em contato com as nove empresas – ainda que a Huawei não tenha sido afetada, ela também foi objeto da análise – e comunicou-as do problema.
A organização de segurança disse que a maior parte das companhias já corrigiu as falhas via patch de atualização em 1º de abril de 2024. A própria Samsung comunicou a atualização (mas sem mencionar o problema diretamente) na última semana. A exceção: Honor e Tencent ainda não se manifestaram às tentativas de contato.
De acordo com a empresa, a teoria é a de que as fabricantes tenham usado mecanismos de criptografia desenvolvidos internamente por uma questão cultural: “é possível que as empresas se sintam menos inclinadas a utilizaram padrões de proteção vistos como ‘ocidentais’ devido a preocupações de que eles tenham vulnerabilidades próprias”, diz trecho do relatório.