В китайском приложении Sogou нашли уязвимость позволяющую читать переписку пользователей

Есть подозрение, что она была оставлена специально

1 мин.
В китайском приложении Sogou нашли уязвимость позволяющую читать переписку пользователей

Исследователи из Университета Торонто (Канада) недавно проанализировали метод ввода данных в приложении-клавиатуре Sogou, принадлежащий компании Tencent, и обнаружили, что в нём существует уязвимость, которая может быть использована хакерами для мониторинга и сбора информации о пользователях.

Приложение насчитывает 450 миллионов ежемесячных активных пользователей и позволяет быстро набирать китайские иероглифы на смартфоне или компьютере.

В результате проведённого анализа исследователи проанализировали клиенты трёх платформ – Windows, Android и iOS, и все они имели данную уязвимость.

Пример трёх различных методов ввода китайского языка, поддерживаемых клавиатурой Sogou.

Приложение-клавиатура Sogou использует для шифрования данных самостоятельно разработанную систему шифрования EncryptWall, и эта система имеет уязвимость CBC ciphertext padding, которая позволяет злоумышленникам восстановить набираемый текст зашифрованной переписки в открытом виде, включая конфиденциальные данные, введённые пользователями.

После того как исследователи обнаружили уязвимость, они сначала сообщили о ней в компанию-разработчик Tencent. Однако там сначала попросили не публиковать информацию об уязвимости, затем сообщили, что проблема не столь серьёзная, но в итоге всё же выпустили обновления для своего ПО.

Исследователи рассказали, что у них возникли трудности с получением ответа от Tencent по электронной почте и эта информация свидетельствует о неожиданных проблемах, связанных с раскрытием данных об уязвимостях компаний в определённых юрисдикциях. После обнародования данных они обнаружили, что их почтовый домен (citizenlab.ca) заблокировали в Китае.

По мнению Citizen Lab, проведённое исследование показывает, что разработчикам важно использовать известные системы шифрования, а не изобретать собственные средства защиты.

Впрочем, есть и другие опасения, связанные с тем, что собственная система была разработана специально, чтобы власти КНР в любой момент могли получить доступ к переписке любых пользователей.


Ещё по теме:

Мы в Telegram, на Дзен, в Google News и YouTube