#CyberMagazyn: Czy klawiatura w smartfonie może szpiegować?

Sogou Input Method to bardzo popularna w Chinach aplikacja pozwalająca na korzystanie z chińskiego alfabetu na urządzeniach mobilnych i komputerach. Stworzyła go firma Sohu, a jego nazwa wzięła się od chińskiej wyszukiwarki internetowej Sogou. Obecnie aplikacja należy do internetowego giganta z Państwa Środka - koncernu Tencent. Miesięcznie korzysta z niej ponad 455 mln aktywnych użytkowników - nie tylko w Chinach, ale też na Tajwanie, w USA i Japonii.

Jak działa Sogou Input Method? W skrócie - pozwala na wykorzystanie łacińskiego alfabetu do transkrypcji na tradycyjny chiński logograficzny system znaków.

Laboratorium badawcze Citizen Lab, działające przy Uniwersytecie w Toronto, wykryło krytycznie istotne podatności aplikacji, które pozwalały na szpiegowanie wszystkiego, co użytkownicy wpisują na swoich smartfonach w dowolne pola tekstowe. Przypadek Sogou Input Method pokazuje, jak niebezpieczne mogą być programy wspomagające jedną z najbardziej oczywistych, a zarazem prywatnych czynności, jaką jest pisanie tekstu na smartfonie.

Na czym polegał problem Sogou Input Method?

Citizen Lab przeanalizowało wersje Sogou Input Method na Androida, iOS, a także system operacyjny Windows. Jak się okazało, we wszystkich odkryto tę samą podatność występującą w systemie szyfrowania EncryptWall, z którego korzysta ta aplikacja do szyfrowania wrażliwych danych.

Jakie to dane? M.in. te zawierające informacje o tym, co użytkownicy aplikacji wpisują na klawiaturze smartfonów. Z wykorzystaniem podatności, jak twierdzą badacze z Citizen Lab, można było z łatwością przechwycić je i dowiedzieć się, o czym osoby korzystające z programu rozmawiają np. na czacie, albo - jakie mają hasła dostępowe do różnych kont w usługach cyfrowych.

Problem z EncryptWallem polega na tym, że nie jest on tak ustandaryzowaną metodą jak TLS, który jest zazwyczaj wykorzystywany w takich rozwiązaniach. Chińczycy rozwijają swoją usługę sami - i siłą rzeczy, niekoniecznie dorównuje ona jakością zachodnim produktom. Nie dlatego, że jest chińska, ale ze względu na to, że pracuje nad nią znacznie węższe grono specjalistów i EncryptWall nie podlega tak dużemu nadzorowi ze strony społeczności eksperckiej, jak to ma miejsce w przypadku TLS.

Nie pierwsze kłopoty Sogou

W 2015 r. firma McAfee wykazała, że wersja Sogou na system operacyjny Windows pozwalała na transmitowanie unikalnych identyfikatorów urządzenia na zewnętrzne serwery bez jakiegokolwiek zabezpieczenia. Citizen Lab przywołując tamtą analizę zaznacza jednak, że specjaliści producenta antywirusów nie przeanalizowali wówczas bezpieczeństwa danych transmitowanych przez aplikację, ani jakości jej systemu szyfrowania.

Podatności wykryto w wersjach aplikacji aktualnych w maju 2023 r. - wobec czego Citizen Lab zaleciło wszystkim aktualizację do najnowszych wersji, w których luk ma już nie być. Aktualizacja jednak nie zostałaby wydana, gdyby nie starania Citizen Lab. Eksperci skontaktowali się z koncernem Tencent i powiadomili go o wykryciu problemów. Tu zaś zaczęły się trudności - przede wszystkim komunikacyjne.

Podatności w Sogou Input Method

Jak czytamy w analizie laboratorium, podatności w Sogou Input Method w wersji na Androida i Windowsa pozwoliły osobom dysponującym narzędziami do podsłuchu sieci na odzyskanie w formie tekstu zawartości transferowanej z aplikacji w ramach szyfrowanej sieci. Pozwalało to na odzyskanie wrażliwych danych - w tym wszystkiego, co pisali użytkownicy na swoich smartfonach. W przypadku aplikacji na Androida - jak twierdzą eksperci - możliwe było też pozyskanie drugiej połowy symetrycznych kluczy szyfrujących wykorzystywanych w EncryptWallu.

Podatności szyfrowania zostały stwierdzone również w wersji aplikacji na iOS, jednak - póki co - Citizen Lab nie stwierdziło, w jaki sposób można byłoby je wykorzystać praktycznie.

Dyskusja z Tencentem

Podatności zostały zgłoszone przez ekspertów firmie Tencent w dniu 31 maja 2023 r. przez pocztę elektroniczną. Kilkanaście dni później, 16 czerwca, podatności zgłoszono ponownie - bo na korespondencję nigdy nie otrzymano odpowiedzi. Tym razem Citizen Lab skorzystało z mechanizmu zgłaszania poprzez portal internetowy Tencent Security Response Centre.

Przyszła zaskakująca odpowiedź: "dziękujemy za wasze zainteresowanie bezpieczeństwem Tencentu. Nie ma tu zagrożenia dla bezpieczeństwa. Czekamy na wasze bardziej ekscytujące, kolejne zgłoszenia".

Co ciekawe, tego samego dnia - osiemnaście godzin później - przyszła kolejna odpowiedź w zupełnie innym tonie: "przepraszam, moja poprzednia odpowiedź była błędna. Obecnie zajmujemy się tą podatnością, proszę, nie upubliczniajcie jej. Bardzo dziękuję za wasze zgłoszenie".

W odpowiedzi, Citizen Lab zapowiedziało, że podatność ujawni 31 lipca. Tencent poinformował, że prześle ekspertom plan i zarys czasowy naprawy podatności - jednak specjaliści nigdy nie otrzymali żadnej wiadomości w tej sprawie.

Pojawiły się kolejne trudności komunikacyjne, które trwały kilka dni. Polegały one... na niemożności dostarczenia sobie przez obie strony wiadomości. Jakkolwiek absurdalnie by to nie brzmiało, w końcu - 20 lipca 2023 r. - Tencent poinformował, że podatności zgłoszone przez Citizen Lab zostały usunięte.

Laboratorium uważa, że przyczyną problemów w komunikacji z koncernem był Wielki Chiński Firewall blokujący domenę Citizen Lab w Państwie Środka. Fakt, że korespondencja z Tencentu w ogóle do ekspertów trafiła na oficjalny adres, może wynikać z błędu w działaniu chińskiej zapory sieciowej - i dlatego laboratorium zdecydowało się komunikować z firmą z innej domeny, związanej z Uniwersytetem w Toronto, która nie jest oficjalnie blokowana przez państwo.

Mamy więc do czynienia z pięknym przykładem tego, jak cenzura państwowa i upór władz może prowadzić do zmniejszenia bezpieczeństwa i ochrony użytkowników popularnych usług internetowych - choć w tym wypadku można przy okazji pokusić się o twierdzenie, że to zmniejszenie bezpieczeństwa i poziomu prywatności byłoby władzom ChRL jak najbardziej na rękę.

Na Sogou warto uważać

Aplikacja Sogou może być bezpieczniejsza o łatki wydane przez Tencent w odpowiedzi na podatności zgłoszone przez Citizen Lab.

Nadal jednak - co podkreślają kanadyjscy badacze - wykorzystuje w swoim działaniu serwery w Chinach , na które trafiają wszystkie treści wpisywane przez użytkowników z całego świata - w tym, przez osoby nastawione krytycznie do rządów w Pekinie. Serwery należące do Tencentu znajdują się na terytorium, gdzie obowiązuje chińskie prawo - tym bardziej należy uważać, jeśli z aplikacji korzystamy do wymiany wrażliwych danych lub informacji osobistych.

Jednak, ostrożność należy zachować nie tylko w przypadku tej aplikacji - ale i wszystkich innych nakładek na klawiaturę nieznanego pochodzenia, które często przyciągają swoją atrakcyjnością, a w rzeczywistości są przebranymi za cyfrowy cukierek narzędziami szpiegowskimi. W cyfrowym świecie ostrożności nigdy dosyć.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].