Verscheidene veelgebruikte Chinese cloudgebaseerde keyboard-apps lekken de toetsaanslagen van circa 1 miljard gebruikers. Onderzoekers van CitizenLab van de Universiteit van Toronto waarschuwen hiervoor op basis van eigen onderzoek.
Eigen versleutelingsmethodes
De onderzoekers sluiten niet uit dat inlichtingendiensten misbruik maken van deze kwetsbaarheid. Ze onderzochten keyboard-apps van Baidu, Honor, Huawei, iFlytek, OPPO, Samsung, Tencent, Vivo en Xiaomi. Het betreft apps voor Android, iOS en Windows: 8 van de 9 apps bevatten kritieke beveiligingslekken. Daardoor is het mogelijk om de inhoud te achterhalen van wat gebruikers typen. Dit kan omdat de fabrikanten hun eigen versleutelingsmethodes bedachten in plaats van gevestigde standaarden te volgen.
Massasurveillance
In veel gevallen is het via passief afluisteren van het netwerkverkeer al mogelijk om toetsaanslagen te onderscheppen. De negen fabrikanten om wie het gaat zijn hierover geïnformeerd. De meeste van hen boden vervolgens een oplossing aan. Sommige keyboard-apps zijn echter nog steeds onveilig. Tevens zijn er gebruikers die geen updates krijgen voor hun telefoon. “Daardoor blijven veel gebruikers van deze apps voor de nabije toekomst mogelijk onder massasurveillance”, aldus de onderzoekers.
Klik hier voor het bericht van CitizenLab.