Meta tiene un plazo para abordar las preocupaciones de la UE sobre el modelo de ‘Pagar o Consentir’
Meta tiene un plazo para abordar las preocupaciones de la UE sobre el modelo...
Se han descubierto vulnerabilidades de seguridad en aplicaciones de teclado pinyin basadas en la nube que podrían ser explotadas para revelar las pulsaciones de teclas de los usuarios a actores maliciosos.
Los hallazgos provienen del Citizen Lab, que descubrió debilidades en ocho de nueve aplicaciones de proveedores como Baidu, Honor, iFlytek, OPPO, Samsung, Tencent, Vivo y Xiaomi. El único proveedor cuya aplicación de teclado no tenía deficiencias de seguridad es Huawei.
Las vulnerabilidades podrían ser explotadas para «revelar completamente el contenido de las pulsaciones de teclas de los usuarios en tránsito», dijeron los investigadores Jeffrey Knockel, Mona Wang y Zoë Reichert.
La divulgación se basa en investigaciones anteriores del laboratorio interdisciplinario con sede en la Universidad de Toronto, que identificó fallas criptográficas en el Método de Entrada Sogou de Tencent en agosto pasado.
En conjunto, se estima que cerca de mil millones de usuarios se ven afectados por esta clase de vulnerabilidades, con los Editores de Método de Entrada (IME) de Sogou, Baidu e iFlytek representando una gran parte del mercado.
Un resumen de los problemas identificados es el siguiente:
La explotación exitosa de estas vulnerabilidades podría permitir a los adversarios descifrar las pulsaciones de teclas de los usuarios móviles chinos de manera completamente pasiva sin enviar ningún tráfico de red adicional. Tras la divulgación responsable, todos los desarrolladores de aplicaciones de teclado, con la excepción de Honor y Tencent (QQ Pinyin), han abordado los problemas a partir del 1 de abril de 2024.
Se recomienda a los usuarios mantener sus aplicaciones y sistemas operativos actualizados y cambiar a una aplicación de teclado que opere completamente en el dispositivo para mitigar estos problemas de privacidad.
Otras recomendaciones instan a los desarrolladores de aplicaciones a utilizar protocolos de cifrado bien probados y estándar en lugar de desarrollar versiones propias que podrían tener problemas de seguridad. También se insta a los operadores de tiendas de aplicaciones a no bloquear por geolocalización las actualizaciones de seguridad y permitir que los desarrolladores certifiquen que todos los datos se transmiten con cifrado.
El Citizen Lab teorizó que es posible que los desarrolladores de aplicaciones chinas sean menos propensos a usar estándares criptográficos percibidos como «occidentales» debido a preocupaciones de que puedan contener puertas traseras propias, lo que los lleva a desarrollar cifrados internos.
«Dada la magnitud de estas vulnerabilidades, la sensibilidad de lo que los usuarios escriben en sus dispositivos, la facilidad con la que podrían haberse descubierto estas vulnerabilidades y que los Cinco Ojos previamente han explotado vulnerabilidades similares en aplicaciones chinas para la vigilancia, es posible que las pulsaciones de teclas de dichos usuarios también hayan estado bajo vigilancia masiva», dijeron los investigadores.
Meta tiene un plazo para abordar las preocupaciones de la UE sobre el modelo...
Expertos descubren una red de delincuencia cibernética china detrás de actividades de juego y...
Google abandona el plan de eliminar gradualmente las cookies de terceros en Chrome Luis...