Las aplicaciones de teclado pinyin basadas en la nube están mostrando ser vulnerables a ataques que podrían exponer las pulsaciones de teclas de los usuarios a individuos malintencionados, según un informe del Citizen Lab. Este estudio identificó debilidades en ocho de nueve aplicaciones de proveedores prominentes como Baidu, Honor, iFlytek, OPPO, Samsung, Tencent, Vivo y Xiaomi. Curiosamente, la única aplicación que no mostró ningún problema de seguridad fue la de Huawei.
Los hallazgos de los investigadores Jeffrey Knockel, Mona Wang y Zoë Reichert sugieren que estas vulnerabilidades podrían ser explotadas para revelar completamente el contenido de las pulsaciones de teclas mientras los usuarios están escribiendo. Este descubrimiento se basa en investigaciones previas del Citizen Lab, que en agosto pasado señaló fallas criptográficas en el método de entrada Sogou de Tencent.
La magnitud del impacto es significativa, ya que se estima que cerca de mil millones de usuarios están potencialmente afectados por estas vulnerabilidades. Los editores de métodos de entrada (IME) de Sogou, Baidu e iFlytek, en particular, tienen una considerable participación en el mercado.
Resumiré los problemas identificados:
- Tencent QQ Pinyin es vulnerable a un ataque de oráculo de relleno CBC que podría permitir la recuperación de texto sin formato.
- Baidu IME permite a los espías de red descifrar transmisiones de red y extraer texto escrito en Windows debido a un error en el protocolo de cifrado BAIDUv3.1.
- La aplicación para Android de iFlytek IME permite a los espías de red recuperar texto sin formato de transmisiones de red insuficientemente cifradas.
- El teclado Samsung en Android transmite datos de pulsaciones de teclas a través de HTTP simple y sin cifrar.
- Xiaomi viene preinstalada con aplicaciones de teclado de Baidu, iFlytek y Sogou, lo que la hace susceptible a los mismos defectos mencionados anteriormente.
- OPPO viene preinstalada con aplicaciones de teclado de Baidu y Sogou, lo que la hace susceptible a los mismos defectos mencionados anteriormente.
- Vivo viene preinstalado con Sogou IME, lo que la hace susceptible al mismo defecto mencionado anteriormente.
- Honor viene preinstalado con Baidu IME, lo que la hace susceptible al mismo defecto mencionado anteriormente.
La explotación exitosa de estas vulnerabilidades podría permitir a los adversarios descifrar las pulsaciones de teclas de los usuarios móviles chinos de forma totalmente pasiva sin enviar ningún tráfico de red adicional. Después de una divulgación responsable, todos los desarrolladores de aplicaciones de teclado, excepto Honor y Tencent (QQ Pinyin), abordaron los problemas a partir del 1 de abril de 2024.
Se aconseja a los usuarios mantener actualizadas sus aplicaciones y sistemas operativos, además de considerar cambiar a una aplicación de teclado que funcione completamente en el dispositivo para mitigar estos problemas de privacidad.
Otras recomendaciones instan a los desarrolladores de aplicaciones a utilizar protocolos de cifrado estándar y bien probados en lugar de desarrollar versiones locales que podrían tener problemas de seguridad. También se ha instado a los operadores de tiendas de aplicaciones a no bloquear geográficamente las actualizaciones de seguridad y permitir a los desarrolladores dar fe de todos los datos que se transmiten con cifrado.
El Citizen Lab sugiere que los desarrolladores de aplicaciones chinas podrían ser reacios a utilizar estándares criptográficos “occidentales” por temor a que contengan sus propias puertas traseras, lo que los lleva a desarrollar cifrados internos.
Los investigadores agregan: “Dado el alcance de estas vulnerabilidades, la sensibilidad de lo que los usuarios escriben en sus dispositivos, la facilidad con la que estas vulnerabilidades pueden haber sido descubiertas y que los Cinco Ojos han explotado previamente vulnerabilidades similares en aplicaciones chinas para vigilancia, es posible que tales vulnerabilidades en las pulsaciones de teclas de los usuarios también hayan estado bajo vigilancia masiva”.