Der Fehler wurde in Tastatur-Apps gefunden, die zur Eingabe chinesischer Schriftzeichen mithilfe des Pinyin-Schriftsystems verwendet werden. Die Forscher analysierten Apps von neun Anbietern – Baidu, Honor, Huawei, iFlytek, OPPO, Samsung, Tencent, Vivo und Xiaomi. Die untersuchten Geräte wurden in China verkauft.
Es wurde festgestellt, dass Samsung Keyboard keinerlei Verschlüsselung durchführte und die meisten anderen keine asymmetrische Kryptografie verwendeten.
Da die Erstellung von Tastaturen, mit denen Benutzer schnell und einfach chinesische Schriftzeichen eingeben können, eine Herausforderung darstellt, bieten viele dieser Apps, einschließlich der von den Forschern analysierten, cloudbasierte Vorhersagen. Die Einbeziehung dieser Funktion bedeutet, dass alles, was eingegeben wird, an andere Server gesendet wird.
Von allen Pinyin-Tastatur-Apps, die Citizen Lab analysiert hat, wurden bei allen außer der von Huawei Schwachstellen festgestellt, die ausgenutzt werden konnten, um herauszufinden, was ein Benutzer tippte. Der Fehler verwandelt cloudbasierte Tastaturen im Wesentlichen in Keylogger.
Die Schwachstellen können von einem passiven Netzwerkabhörer ohne Beeinträchtigung des Kommunikationskanals ausgenutzt werden, wodurch sie schwer zu erkennen sind.
Fehler wie diese, die es ermöglichen, zu lesen, was jemand auf seinem Gerät eingibt, können für verschiedene Akteure, einschließlich staatlicher Geheimdienste, von Interesse sein. Die Forscher befürchten, dass sie möglicherweise nicht die ersten waren, die die Schwachstellen entdeckt haben, und dass sie möglicherweise zu Überwachungszwecken ausgenutzt wurden.
Die Forscher gehen davon aus, dass bis zu einer Milliarde Nutzer von dieser und einer weiteren ähnlichen Sicherheitslücke betroffen sein könnten. Die Schwachstellen wurden allen Anbietern gemeldet und die meisten von ihnen haben sie behoben.
Der Bericht stellt fest, dass weder die Tastatur-Apps von Apple noch die von Google Tastenanschläge an Cloud-Server übertragen.
Wenn Sie nicht möchten, dass jemand erfährt, was Sie auf Ihrem Telefon eingeben, empfiehlt es sich, die Tastaturen auf dem Gerät zu verwenden und Ihre Apps und Betriebssysteme auf dem neuesten Stand zu halten.