クラウドベースのピンインキーボードアプリにおけるセキュリティの脆弱性が発見され、悪意のある者がユーザーのキーストロークを明らかにする可能性があることが判明した。この問題は、トロント大学に基づく多分野の研究所であるCitizen Labによって発見され、Baidu、Honor、iFlytek、OPPO、Samsung、Tencent、Vivo、Xiaomiの9つのアプリのうち8つに弱点があることが明らかにされた。唯一、Huaweiのキーボードアプリにはセキュリティの短所が見つからなかった。
研究者たちは、これらの脆弱性を利用して、「ユーザーのキーストロークの内容を完全に明らかにする」ことが可能であると述べている。これらの問題は、Sogou、Baidu、iFlytekの入力メソッドエディタ(IME)が市場シェアの大部分を占めることから、約10億人のユーザーが影響を受けると推定される。
具体的な問題点としては、Tencent QQ PinyinがCBCパディングオラクル攻撃に弱く、平文を回復可能であること、Baidu IMEがWindows上でネットワークの盗聴者によるテキストの復号化と抽出を可能にするバグがあること、iFlytek IMEのAndroidアプリが不十分に暗号化されたネットワーク伝送の平文を回復可能にすること、Samsung KeyboardがAndroid上でキーストロークデータを平文のHTTP経由で送信することなどが挙げられる。
これらの脆弱性の成功した悪用は、追加のネットワークトラフィックを送信せずに、中国のモバイルユーザーのキーストロークを完全に暗号解読することを敵に許す可能性がある。責任を持って開示された後、HonorとTencent(QQ Pinyin)を除くすべてのキーボードアプリ開発者は2024年4月1日までに問題を解決している。ユーザーには、アプリとオペレーティングシステムを最新の状態に保ち、これらのプライバシー問題を軽減するために完全にデバイス上で動作するキーボードアプリに切り替えることが推奨される。
また、アプリ開発者には、セキュリティ問題を引き起こす可能性のある独自のバージョンを開発する代わりに、よくテストされた標準の暗号化プロトコルを使用することが求められている。アプリストアの運営者には、セキュリティ更新を地理的にブロックしないようにし、すべてのデータが暗号化されていることを開発者が証明できるようにすることが促されている。Citizen Labは、中国のアプリ開発者が自身のバックドアが含まれている可能性があるとの懸念から「西洋の」暗号化標準の使用をためらっている可能性があると推測している。
【ニュース解説】
クラウドベースのピンインキーボードアプリにおける重大なセキュリティ脆弱性が発見され、これが原因で10億人以上の中国のユーザーが自身のキーストローク(打鍵情報)を悪意のある第三者に露呈するリスクにさらされていることが明らかになりました。この問題は、トロント大学の多分野研究所であるCitizen Labによって発見され、Baidu、Honor、iFlytek、OPPO、Samsung、Tencent、Vivo、Xiaomiといった主要なベンダーのキーボードアプリ8つにセキュリティ上の弱点があることが指摘されました。唯一、Huaweiのキーボードアプリにはこのような問題は見つかっていません。
これらの脆弱性を悪用することで、攻撃者はユーザーが入力した内容を完全に読み取ることが可能になります。特に、Tencent QQ Pinyin、Baidu IME、iFlytek IME、Samsung Keyboardなどが、暗号化の不備や平文でのデータ送信により、特にリスクが高いことが示されています。
この問題の発見と公表により、多くのアプリ開発者がセキュリティの問題を修正しましたが、全てのユーザーが安全な状態にあるわけではありません。ユーザーは自身のデバイスとアプリを常に最新の状態に保つこと、可能であれば完全にデバイス上で動作するキーボードアプリに切り替えることが推奨されています。
この問題は、単に個人のプライバシー侵害のリスクに留まらず、大規模な監視やデータ漏洩の可能性を示唆しています。特に、中国のアプリ開発者が独自の暗号化プロトコルを使用することで、既存の「西洋の」暗号化標準を避けている可能性があり、これがセキュリティの脆弱性を生じさせている一因と考えられます。
このようなセキュリティ上の問題は、ユーザーの意識の向上、開発者による標準化された暗号化プロトコルの採用、そしてアプリストアによるセキュリティ更新の促進など、多方面からの取り組みを必要とします。長期的には、より安全な通信手段の普及と、デジタルプライバシーを守るための国際的な協力が求められるでしょう。
from Major Security Flaws Expose Keystrokes of Over 1 Billion Chinese Keyboard App Users.
