Importantes fallas de seguridad exponen las pulsaciones de teclas de más de mil millones de usuarios de aplicaciones de teclado chinas

Luis Quiles
Luis Quiles
mobile
Encriptación, Seguridad Movil

Se han descubierto vulnerabilidades de seguridad en aplicaciones de teclado pinyin basadas en la nube que podrían ser explotadas para revelar las pulsaciones de teclas de los usuarios a actores maliciosos.

Los hallazgos provienen del Citizen Lab, que descubrió debilidades en ocho de nueve aplicaciones de proveedores como Baidu, Honor, iFlytek, OPPO, Samsung, Tencent, Vivo y Xiaomi. El único proveedor cuya aplicación de teclado no tenía deficiencias de seguridad es Huawei.

Las vulnerabilidades podrían ser explotadas para «revelar completamente el contenido de las pulsaciones de teclas de los usuarios en tránsito», dijeron los investigadores Jeffrey Knockel, Mona Wang y Zoë Reichert.

La divulgación se basa en investigaciones anteriores del laboratorio interdisciplinario con sede en la Universidad de Toronto, que identificó fallas criptográficas en el Método de Entrada Sogou de Tencent en agosto pasado.

En conjunto, se estima que cerca de mil millones de usuarios se ven afectados por esta clase de vulnerabilidades, con los Editores de Método de Entrada (IME) de Sogou, Baidu e iFlytek representando una gran parte del mercado.

Un resumen de los problemas identificados es el siguiente:

  • Tencent QQ Pinyin, vulnerable a un ataque de oráculo de relleno CBC que podría permitir recuperar el texto sin formato.
  • Baidu IME, que permite a los espías de red descifrar las transmisiones de red y extraer el texto escrito en Windows debido a un error en el protocolo de cifrado BAIDUv3.1.
  • iFlytek IME, cuya aplicación para Android permite a los espías de red recuperar el texto sin formato de transmisiones de red insuficientemente cifradas.
  • Samsung Keyboard en Android, que transmite datos de pulsaciones de teclas a través de HTTP plano y no cifrado.
  • Xiaomi, que viene preinstalado con aplicaciones de teclado de Baidu, iFlytek y Sogou (y por lo tanto es susceptible a las mismas fallas mencionadas anteriormente).
  • OPPO, que viene preinstalado con aplicaciones de teclado de Baidu y Sogou (y por lo tanto es susceptible a las mismas fallas mencionadas anteriormente).
  • Vivo, que viene preinstalado con Sogou IME (y por lo tanto es susceptible a la misma falla mencionada anteriormente).
  • Honor, que viene preinstalado con Baidu IME (y por lo tanto es susceptible a la misma falla mencionada anteriormente).

 

La explotación exitosa de estas vulnerabilidades podría permitir a los adversarios descifrar las pulsaciones de teclas de los usuarios móviles chinos de manera completamente pasiva sin enviar ningún tráfico de red adicional. Tras la divulgación responsable, todos los desarrolladores de aplicaciones de teclado, con la excepción de Honor y Tencent (QQ Pinyin), han abordado los problemas a partir del 1 de abril de 2024.

server

Se recomienda a los usuarios mantener sus aplicaciones y sistemas operativos actualizados y cambiar a una aplicación de teclado que opere completamente en el dispositivo para mitigar estos problemas de privacidad.

Otras recomendaciones instan a los desarrolladores de aplicaciones a utilizar protocolos de cifrado bien probados y estándar en lugar de desarrollar versiones propias que podrían tener problemas de seguridad. También se insta a los operadores de tiendas de aplicaciones a no bloquear por geolocalización las actualizaciones de seguridad y permitir que los desarrolladores certifiquen que todos los datos se transmiten con cifrado.

El Citizen Lab teorizó que es posible que los desarrolladores de aplicaciones chinas sean menos propensos a usar estándares criptográficos percibidos como «occidentales» debido a preocupaciones de que puedan contener puertas traseras propias, lo que los lleva a desarrollar cifrados internos.

«Dada la magnitud de estas vulnerabilidades, la sensibilidad de lo que los usuarios escriben en sus dispositivos, la facilidad con la que podrían haberse descubierto estas vulnerabilidades y que los Cinco Ojos previamente han explotado vulnerabilidades similares en aplicaciones chinas para la vigilancia, es posible que las pulsaciones de teclas de dichos usuarios también hayan estado bajo vigilancia masiva», dijeron los investigadores.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Descubre los últimos artículos del blog sobre seguridad cibernética.