- Cerca de 780 milhões de usuários foram afetados por bugs de teclado
- Teclados da Xiaomi, Honor e Samsung também continham vulnerabilidades
- Os consumidores fora da China não devem ser afetados de forma alguma
Especialistas da organização canadense Citizen Lab, da Universidade de Toronto, divulgaram um relatório informando sobre erros críticos encontrados (não apenas) em teclados móveis de muitos fabricantes de eletrônicos, incluindo Xiaomi, Samsung ou Honor. Como resultado da sua existência, os atacantes poderiam, teoricamente, monitorizar cada pressionamento de tecla do utilizador e, assim, revelar, por exemplo, os seus dados de acesso a serviços online. O relatório sugere que apenas os consumidores chineses estão em risco. 780 milhões de pessoas poderiam estar em risco apenas com os telemóveis.
As vulnerabilidades relatadas pelos pesquisadores supostamente poderiam “inevitavelmente descoberto por qualquer um que pensasse em procurá-los”. O problema estava no método de inserção de caracteres chineses chamado Pinyin, que permite aos chineses digitar no teclado.
É bem sabido que o alfabeto chinês consiste em milhares de caracteres diferentes – de acordo com a BBC pode haver mais de 50.000 no total, mas mesmo dicionários modernos abrangentes raramente listam mais de 20.000. No entanto, comparado com o alfabeto latino ou cirílico, este é um valor irreal, completamente impossível enfiar em um teclado móvel. No entanto, a tecnologia moderna tornou a escrita em chinês mais fácil com editores de métodos de entrada que oferecem abordagens alternativas para inserir caracteres chineses, incluindo métodos de desenho, entrada de voz ou reconhecimento óptico de caracteres.
No entanto, de acordo com investigadores do Citizen Lab, mais de três quartos dos chineses continentais utilizam teclados para escrever nos seus smartphones. por um método de entrada chamado pinyin, que é usado para transcrever caracteres chineses para o latim. Embora alguns teclados funcionem localmente, ou seja, diretamente no dispositivo do usuário, muitos deles usam uma conexão em nuvem (eles se comunicam com um servidor remoto), por exemplo, em conexão com a previsão de caracteres com base no contexto.
Isto pode envolver preocupações perfeitamente lógicas sobre espionagem por parte dos desenvolvedores de teclados, mas os especialistas do Citizen Lab estavam exclusivamente preocupados com a questão da fraca segurança das comunicações e como as vulnerabilidades poderiam ser exploradas pelos atacantes.
Especialistas focaram em teclados “Ping-yin” de nove empresas, nomeadamente o colosso Baidu, Honor, Huawei, iFlytek, Oppo, Samsung, Tencent, Vivo e Xiaomi. Apenas a Huawei saiu vitoriosa, Descobriu-se que os teclados de outras empresas apresentavam falhas mais ou menos graves.
Os pesquisadores notificaram todas as empresas afetadas sobre os bugs nos teclados, que em sua maioria responderam aos avisos. No entanto, Citizen Lab não recebeu comentários de Xiaomi, Vivo e Baidu. O último deveria corrigir as vulnerabilidades mais graves, mas não resolveu todas elas.
Como você protege seus dados na Internet?
Zdroje: Citizen Lab, The Register, The Hacker News, Wikipedia, BBC