Pesquisadores do CitizenLab da Universidade de Toronto, no Canadá, analisaram os métodos de entrada em nuvem de nove fabricantes: Baidu, Honor, Huawei, iFlytek, OPPO, Vivo, Samsung, Tencent e Xiaomi, alguns fabricantes que não utilizam nenhum método de criptografia para proteger o conteúdo digitado pelo usuário .
▲ Diagrama esquemático do esquema de criptografia do modo BCTR usado pelo Baidu IME no Android e iOS
Os pesquisadores enviaram relatórios de vulnerabilidade aos nove desenvolvedores afetados. A maioria dos desenvolvedores levou o problema a sério e respondeu, corrigindo as vulnerabilidades. No entanto, ainda existem alguns métodos de entrada que não corrigiram as vulnerabilidades.
Entre os aplicativos de nove fabricantes testados, apenas os produtos da Huawei não encontraram nenhum problema de segurança relacionado ao upload de conteúdo de entrada do usuário para a nuvem. Cada um dos outros fabricantes possui pelo menos um aplicativo que contém vulnerabilidades, permitindo que invasores de rede passivos monitorem o conteúdo completo. de entrada do usuário.
Link de referência
https://citizenlab.ca/wp-content/uploads/2024/04/CitizenLabReport175-keyboardvuln.pdf