トロント大学のCitizen Labによる新しい研究によると、中国語の文字を入力するために使用されるほとんどのキーボードアプリは、攻撃者がユーザーのキーストロークを完全にキャプチャすることを可能にする脆弱性を持っている。これにはログイン情報、財務情報、エンドツーエンドで暗号化されたはずのメッセージなどが含まれる。
研究者たちは、中国のユーザーに販売されている9つのベンダー(Baidu, Samsung, Huawei, Tencent, Xiaomi, Vivo, OPPO, iFlytek, Honor)のクラウドベースのピンインアプリを調査し、Huaweiを除くすべてのアプリがキーストロークデータをクラウドに送信しており、受動的な盗聴者が内容を容易にクリアテキストで読むことができることを発見した。
Citizen Labの研究者たちは、これらのアプリがユーザーのキーストロークをクラウドに送信する際の取り扱いにおいて、少なくとも1つの悪用可能な脆弱性を含んでいると指摘している。これらの脆弱性は技術的な洗練さを必要とせず、容易に発見および悪用できる。
調査対象の9つのアプリのうち、Tencent、Baidu、iFlytekの3つはモバイルソフトウェア開発者によるもので、残りのSamsung、Xiaomi、OPPO、Vivo、Honorはモバイルデバイスメーカーによるものである。これらのアプリは、アクティブおよびパッシブな方法で悪用可能である。
Citizen Labは、これらの脆弱性が最大10億人のユーザーに影響を与える可能性があると推定している。これらの脆弱性により、中国のモバイルデバイスユーザーの大規模な監視が可能になり、Five Eyes国(米国、英国、カナダ、オーストラリア、ニュージーランド)の信号情報機関による監視に利用される可能性がある。
【ニュース解説】
トロント大学のCitizen Labによる最新の研究では、中国語の文字を入力するために使用されるキーボードアプリの大半が、攻撃者によるユーザーのキーストロークの完全なキャプチャを可能にする脆弱性を持っていることが明らかにされました。この問題は、ログイン情報や財務情報、本来はエンドツーエンドで暗号化されるべきメッセージなど、ユーザーの機密情報が漏洩するリスクを高めます。
この研究では、中国のユーザー向けに販売されている9つのベンダー(Baidu, Samsung, Huawei, Tencent, Xiaomi, Vivo, OPPO, iFlytek, Honor)が提供するクラウドベースのピンインアプリが調査され、Huaweiを除く全てのアプリがキーストロークデータをクラウドに送信する際に、受動的な盗聴者が内容をクリアテキストで読むことができるような脆弱性を持っていることが判明しました。
これらの脆弱性は、技術的な洗練さを必要とせず、容易に発見および悪用できることが指摘されています。このことは、セキュリティ対策の不備がいかに深刻であるかを示しています。また、Citizen Labは、これらの脆弱性が最大10億人のユーザーに影響を与える可能性があると推定しており、中国のモバイルデバイスユーザーの大規模な監視が可能になること、さらにはFive Eyes国(米国、英国、カナダ、オーストラリア、ニュージーランド)の信号情報機関による監視に利用される可能性があることを警告しています。
この問題のポジティブな側面を見出すのは難しいですが、この研究が公表されたことにより、関連するアプリの開発者やモバイルデバイスメーカーがセキュリティ対策を強化し、ユーザーのプライバシー保護により一層注力するきっかけになることが期待されます。一方で、このような脆弱性が存在することは、個人情報の保護とデジタルセキュリティの重要性がますます高まっている現代社会において、深刻な潜在的リスクを示しています。
長期的な視点で見ると、この研究結果は、ソフトウェア開発者やデバイスメーカーに対するセキュリティ基準の強化、さらには国際的な協力によるサイバーセキュリティ対策の推進を促す契機となるかもしれません。また、消費者に対しては、使用するアプリやデバイスのセキュリティ対策をより意識し、個人情報の保護に努めることの重要性を再認識させることにも繋がります。
