重大安全漏洞暴露超过 10 亿中文输入法用户的击键行为

发布于 作者:

重大安全漏洞暴露超过 10 亿中文输入法用户的击键行为

会杀毒的单反狗 军哥网络安全读报 2024-04-25 07:57

基于云的拼音输入法中发现的安全漏洞可能会被利用,向不法分子泄露用户的击键内容。

该调查结果来自公民实验室,该实验室发现了百度、荣耀、科大讯飞、OPPO、三星、腾讯、Vivo和小米等供应商的九款应用程序中的八款存在安全漏洞。唯一一家输入法不存在任何安全缺陷的供应商是华为。

研究人员杰弗里·诺克尔
(Jeffrey Knockel)、莫娜·王 (Mona Wang) 和佐伊·赖克特 (Zoë
Reichert)表示,这些漏洞可能被用来“完全泄露用户在传输过程中的击键内容”。

此次披露是基于多伦多大学跨学科实验室的先前研究,该实验室去年八月发现了腾讯搜狗输入法的密码缺陷。

总体而言,估计有近
10 亿用户受到此类漏洞的影响,其中搜狗、百度和科大讯飞的输入法编辑器 (IME) 占据了很大一部分市场份额。

已发现的问题摘要如下:
– 腾讯QQ拼音易受CBC padding oracle攻击,可恢复明文

  • 百度输入法,由于 BAIDUv3.1
    加密协议中的错误,允许网络窃听者解密网络传输并提取 Windows 上键入的文本

  • iFlytek IME,其 Android 应用程序允许网络窃听者恢复未充分加密的网络传输的明文

  • Android  上的三星输入法,通过普通、未加密的 HTTP 传输击键数据

  • 小米,预装了百度、科大讯飞和搜狗的键盘应用程序(因此容易受到上述相同缺陷的影响)

  • OPPO,预装了百度和搜狗的键盘应用程序(因此容易受到上述相同缺陷的影响)

  • Vivo,预装了搜狗输入法(因此容易受到上述相同缺陷的影响)

  • Honor,预装了百度输入法(因此容易受到上述相同缺陷的影响)

成功利用这些漏洞可以让攻击者完全被动地解密中国手机用户的击键,而无需发送任何额外的网络流量。经过负责任的披露,截至
2024 年 4 月 1 日,除荣耀和腾讯(QQ拼音)外,所有键盘应用程序开发商均已解决了这些问题。

建议用户保持应用程序和操作系统最新,并切换到完全在本地设备上运行的输入法,以缓解这些隐私问题。

其他建议呼吁应用程序开发人员使用经过充分测试的标准加密协议,而不是开发可能存在安全问题的本土版本。应用商店运营商也被敦促不要对安全更新进行地理封锁,并允许开发人员证明所有数据都以加密方式传输。

公民实验室推测,中国应用程序开发人员可能不太愿意使用“西方”加密标准,因为担心它们可能包含自己的后门,促使他们开发内部密码。

“考虑到这些漏洞的范围、用户在设备上输入内容的敏感性、这些漏洞被发现的难易程度,以及五眼联盟之前曾利用中国应用程序中的类似漏洞进行监视,因此此类用户的击键也可能受到大规模监视。”研究人员说。

详细技术报告:
https://citizenlab.ca/2024/04/vulnerabilities-across-keyboard-apps-reveal-keystrokes-to-network-eavesdroppers/

参考链接:

https://thehackernews.com/2024/04/major-security-flaws-expose-keystrokes.html

今日安全资讯速递

APT事件

Advanced Persistent Threat

朝鲜黑客劫持防病毒更新在大型企业网络上植入后门

https://www.bleepingcomputer.com/news/security/hackers-hijack-antivirus-updates-to-drop-guptiminer-malware/

朝鲜黑客组织入侵韩国国防承包商

https://www.bleepingcomputer.com/news/security/dprk-hacking-groups-breach-south-korean-defense-contractors/

被追踪为
CoralRaider 的越南攻击者组织在使用多个信息窃取程序获取全球用户凭据

https://www.securityweek.com/threat-actor-uses-multiple-infostealers-in-global-campaign/

研究人员详细介绍了
SSLoad、Cobalt Strike 多级攻击劫持系统

https://thehackernews.com/2024/04/researchers-detail-multistage-attack.html

思科针对“ArcaneDoor”0day攻击
ASA 防火墙平台发出警报

https://www.securityweek.com/cisco-raises-alarm-for-arcanedoor-zero-days-hitting-asa-firewall-platforms/

一般威胁事件

General Threat Incidents

安全研究人员发现针对韩国用户的新型银行恶意软件

https://www.cyberdaily.au/security/10457-stealthy-new-banking-malware-spotted-targeting-korean-users

Microsoft
PlayReady
漏洞可能允许恶意订阅者从流行的流媒体服务非法下载电影

https://www.securityweek.com/microsoft-drm-hacking-could-allow-movie-downloads-from-popular-streaming-services/

LockBit 勒索软件团伙泄露了据称从政府承包商 Tyler Technologies 窃取的数据

https://www.securityweek.com/ransomware-gang-leaks-data-allegedly-stolen-from-government-contractor/

Change Healthcare 勒索软件攻击归咎于身份验证失败

https://www.csoonline.com/article/2094609/authentication-failure-blamed-for-change-healthcare-ransomware-attack.html

美国联合健康集团(
UnitedHealth
)证实,个人和健康信息在勒索软件攻击中被盗,使该公司损失高达
16
亿美元

https://www.securityweek.com/unitedhealth-says-patient-data-exposed-in-change-healthcare-cyberattack/

UnitedHealth Group(联合健康)证实已向勒索软件团伙支付费用以阻止数据泄露

https://www.bleepingcomputer.com/news/security/unitedhealth-confirms-it-paid-ransomware-gang-to-stop-data-leak/

网络攻击导致意大利医疗诊断服务提供商
SYNLAB ITALIA 运营瘫痪

A cyber attack paralyzed operations at Synlab Italia

漏洞事件

Vulnerability Incidents

针对流行消息应用程序WhatsApp 的0day漏洞在地下黑客论坛上发布

Alert! Zero-day Exploit For WhatsApp Advertised On Hacker Forums

西门子工业产品受到Palo
Alto Networks防火墙漏洞的影响

https://www.securityweek.com/siemens-industrial-product-impacted-by-exploited-palo-alto-firewall-vulnerability/

Palo Alto
Networks Cortex XDR 中的漏洞允许安全研究人员将其变成恶意攻击工具

https://www.securityweek.com/research-shows-how-attackers-can-abuse-edr-security-products/

MITRE 研发网络于 1 月初被APT组织利用
Ivanti 0day漏洞进行攻击

https://www.securityweek.com/mitre-hacked-by-state-sponsored-group-via-ivanti-zero-days/

CrushFTP 修补了被利用的0day漏洞

https://www.securityweek.com/crushftp-patches-exploited-zero-day-vulnerability/

Apache项目中发现依赖混淆漏洞,可能导致远程代码执行(RCE)

https://www.infosecurity-magazine.com/news/dependency-confusion-flaw-found/

重大安全漏洞暴露超过
10 亿中文输入法用户的击键行为

https://thehackernews.com/2024/04/major-security-flaws-expose-keystrokes.html

谷歌修复了严重级别的
Chrome 漏洞(CVE-2024-4058)

https://www.securityweek.com/google-patches-critical-chrome-vulnerability/

微软发布Exchange修补程序以解决安全更新问题

https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-exchange-hotfixes-for-security-update-issues/

扫码关注

会杀毒的单反狗

讲述普通人能听懂的安全故事