Исследователи из Университета Торонто (Канада) недавно проанализировали метод ввода данных в приложении-клавиатуре Sogou, принадлежащий компании Tencent, и обнаружили, что в нём существует уязвимость, которая может быть использована хакерами для мониторинга и сбора информации о пользователях.
Приложение насчитывает 450 миллионов ежемесячных активных пользователей и позволяет быстро набирать китайские иероглифы на смартфоне или компьютере.
В результате проведённого анализа исследователи проанализировали клиенты трёх платформ – Windows, Android и iOS, и все они имели данную уязвимость.
Приложение-клавиатура Sogou использует для шифрования данных самостоятельно разработанную систему шифрования EncryptWall, и эта система имеет уязвимость CBC ciphertext padding, которая позволяет злоумышленникам восстановить набираемый текст зашифрованной переписки в открытом виде, включая конфиденциальные данные, введённые пользователями.
После того как исследователи обнаружили уязвимость, они сначала сообщили о ней в компанию-разработчик Tencent. Однако там сначала попросили не публиковать информацию об уязвимости, затем сообщили, что проблема не столь серьёзная, но в итоге всё же выпустили обновления для своего ПО.
Исследователи рассказали, что у них возникли трудности с получением ответа от Tencent по электронной почте и эта информация свидетельствует о неожиданных проблемах, связанных с раскрытием данных об уязвимостях компаний в определённых юрисдикциях. После обнародования данных они обнаружили, что их почтовый домен (citizenlab.ca) заблокировали в Китае.
По мнению Citizen Lab, проведённое исследование показывает, что разработчикам важно использовать известные системы шифрования, а не изобретать собственные средства защиты.
Впрочем, есть и другие опасения, связанные с тем, что собственная система была разработана специально, чтобы власти КНР в любой момент могли получить доступ к переписке любых пользователей.
Ещё по теме: