Những nhà nghiên cứu của Đại học Toronto gần đây đã phát hiện ra các lỗ hổng mã hóa nghiêm trọng trong ứng dụng gõ bính âm Hán ngữ (pinyin) dựa trên nền tảng đám mây của nhiều công ty nổi tiếng, có thể khiến người dùng bị theo dõi. Mặc dù không có bằng chứng nào cho thấy các lỗ hổng đang bị kẻ xấu tích cực khai thác nhưng đây vẫn là một vấn đề nghiêm trọng.
Chữ viết tiếng Trung kết hợp hàng nghìn ký tự độc nhất không bao giờ có thể vừa với bàn phím thông thường, vì vậy việc gõ bằng ngôn ngữ này yêu cầu các phương thức nhập thay thế (IME). Tất cả các công cụ đám mây dễ bị tấn công đều sử dụng hệ thống bính âm, trong đó người dùng nhập bằng các chữ cái La Mã và sau đó chọn từ một loạt các ký hiệu tương ứng. Các nhà cung cấp hệ điều hành và nhà phát triển bên thứ ba đã cung cấp IME tiếng Trung có khả năng xử lý hoàn toàn trên thiết bị trong nhiều thập kỷ, nhưng các dịch vụ đám mây có thể xác định các ký tự chính xác hơn.
Thông thường, bất kỳ tiện ích bàn phím dựa trên internet nào cũng có rủi ro cố hữu, nhưng các công ty cung cấp ứng dụng bính âm dựa trên đám mây đảm bảo quyền riêng tư của người dùng thông qua mã hóa. Các nhà nghiên cứu từ Đại học Toronto đã thử nghiệm tính bảo mật của các ứng dụng từ 9 công ty: Baidu, Honor, Huawei, iFlytek, OPPO, Samsung, Tencent, Vivo, Xiaomi và đã ghi lại thành công các thao tác gõ phím từ tất cả các công ty này ngoại trừ công cụ của Huawei. Một số lỗ hổng có thể làm rò rỉ hoàn toàn dữ liệu.
Đáng chú ý, các nhà nghiên cứu không tìm thấy sai sót nào trong ứng dụng trên iOS vì Apple tự động cô lập các ứng dụng bàn phím trên nền tảng này. Việc cho phép các ứng dụng bàn phím iPhone truy cập và truyền dữ liệu cần có sự cho phép của người dùng. Trong khi đó, các công cụ tương ứng từ Android và Windows được cho là kém an toàn hơn nhiều. Người dùng Android có thể chọn xem bàn phím có kết nối với Internet hay không, nhưng các nhà nghiên cứu nhận thấy rằng cài đặt này có thể không dễ thiết lập đối với hầu hết người dùng.
iOS là thiết bị an toàn nhất trong vấn đề bàn phím, theo thông tin từ các nhà nghiên cứu
Sau khi các nhà nghiên cứu cảnh báo tất cả chín nhà cung cấp, hầu hết đều phát hành bản cập nhật để khắc phục sự cố, nhưng lỗi mã hóa vẫn tồn tại trong các ứng dụng của Baidu, bàn phím của Honor và dịch vụ QQ Pinyin của Tencent. Hơn nữa, các nhà nghiên cứu đã liệt kê hàng tá ứng dụng tương tự mà họ không thể kiểm tra nhưng nhiều khả năng gặp vấn đề.
Báo cáo lưu ý rằng Five Eyes – một liên minh chia sẻ thông tin tình báo giữa Mỹ, Anh, Canada, Úc và New Zealand – trước đây đã sử dụng các lỗ hổng tương tự trong các ứng dụng của Trung Quốc để theo dõi người dùng, do đó các nhà nghiên cứu đặc biệt nhấn mạnh tầm ảnh hưởng của các lỗ hổng này
Lấy link