Hemen hemen her Çince klavye uygulamasında, kullanıcıların ne yazdığını ortaya çıkaran bir güvenlik açığı bulunur

Sorunun devasa boyutu, bu güvenlik açıklarından yararlanmanın zor olmadığı gerçeğiyle daha da artıyor. “Bunu kırmak için sayıları hesaplayan devasa süper bilgisayarlara ihtiyacınız yok. Knockel, “Bunu kırmak için terabaytlarca veri toplamanıza gerek yok” diyor. “Eğer Wi-Fi ağı üzerinden başka bir kişiyi hedeflemek isteyen biriyseniz, güvenlik açığını anladıktan sonra bunu yapabilirsiniz.”

Araştırmacılar, güvenlik açıklarından yararlanmanın kolaylığı ve büyük getirisi (potansiyel olarak banka hesabı şifreleri veya gizli materyaller de dahil olmak üzere bir kişinin yazdığı her şeyi bilmenin), bilgisayar korsanları tarafından halihazırda istismar edilmiş olma ihtimalinin yüksek olduğunu gösteriyor. Ancak eyalet bilgisayar korsanlarının Batılı hükümetler için çalışmasına rağmen buna dair hiçbir kanıt yok. 2011’de Çin tarayıcı uygulamasında benzer bir boşluk hedeflenmişti.

Arizona Eyalet Üniversitesi’nde güvenlik ve kriptografi alanında doçent olan ve bu raporda kendisine danışılan Jedidiah Crandall, bu raporda bulunan boşlukların çoğunun “modern en iyi uygulamaların çok gerisinde” olduğunu ve insanların yazdıklarının şifresini çözmenin çok kolay olduğunu söylüyor. bu raporun. Mesajların şifresini çözmek çok fazla çaba gerektirmediği için bu tür bir boşluk, büyük grupların büyük ölçekli gözetimi için harika bir hedef olabilir, diyor.

Araştırmacılar bu klavye uygulamalarını geliştiren şirketlerle iletişime geçtikten sonra boşlukların çoğu giderildi. Ancak birkaç şirket yanıt vermedi ve güvenlik açığı, QQ Pinyin ve Baidu dahil olmak üzere bazı uygulama ve telefonların yanı sıra en son sürüme güncellenmemiş herhangi bir klavye uygulamasında hâlâ mevcut. Baidu, Tencent, iFlytek ve Samsung, tarafından gönderilen basın sorularına hemen yanıt vermedi. MIT Teknoloji İncelemesi.

Boşlukların her yerde bulunmasının olası bir nedeni, bu klavye uygulamalarının çoğunun, TLS protokolünün yazılım geliştirmede yaygın olarak benimsenmesinden önce, 2000’li yıllarda geliştirilmiş olmasıdır. Uygulamalar o zamandan bu yana çok sayıda güncellemeden geçmiş olsa da, atalet geliştiricilerin daha güvenli bir alternatif benimsemesini engelleyebilirdi.

Rapor, dil engellerinin ve farklı teknoloji ekosistemlerinin İngilizce ve Çince konuşan güvenlik araştırmacılarının bu gibi sorunları daha hızlı çözebilecek bilgileri paylaşmalarını engellediğine dikkat çekiyor. Örneğin, Google’ın Play mağazası Çin’de engellendiğinden çoğu Çin uygulaması, Batılı araştırmacıların sıklıkla uygulamaları analiz etmek için başvurduğu Google Play’de mevcut değildir.

Bazen tek gereken biraz daha fazla çabadır. Konuyla ilgili iFlytek’e gönderilen iki e-postanın sessizlikle karşılanmasının ardından Citizen Lab araştırmacıları e-posta başlığını Çince olarak değiştirdiler ve İngilizce metne Çince tek satırlık bir özet eklediler. Sadece üç gün sonra iFlytek’ten sorunun çözüldüğünü belirten bir e-posta aldılar.