Исследователи из CitizenLab Университета Торонто в Канаде проанализировали облачные методы ввода девяти производителей: Baidu, Honor, Huawei, iFlytek, OPPO, Vivo, Samsung, Tencent и Xiaomi, некоторые производители, которые не используют какие-либо методы шифрования для защиты содержимого, вводимого пользователем .
▲ Принципиальная схема схемы шифрования в режиме BCTR, используемой Baidu IME на Android и iOS.
Исследователи представили отчеты об уязвимостях девяти затронутым разработчикам. Большинство разработчиков серьезно отнеслись к проблеме и отреагировали, исправив уязвимости. Однако все еще существует несколько методов ввода, которые не исправили уязвимости.
Среди протестированных приложений девяти производителей только в продуктах Huawei не было обнаружено проблем безопасности, связанных с загрузкой пользовательского контента в облако. У каждого из остальных производителей есть как минимум одно приложение, содержащее уязвимости, позволяющие пассивным сетевым злоумышленникам отслеживать весь контент. пользовательского ввода.
Справочная ссылка
https://citizenlab.ca/wp-content/uploads/2024/04/CitizenLabReport175-keyboardvuln.pdf