नई दिल्ली: क्लाउड-आधारित पिनयिन कीबोर्ड ऐप्स में उजागर हुई सुरक्षा कमजोरियों का उपयोग उपयोगकर्ताओं के कीस्ट्रोक्स को नापाक अभिनेताओं के सामने प्रकट करने के लिए किया जा सकता है।
ये निष्कर्ष सिटीजन लैब से आए हैं, जिसने Baidu, Honor, iFlytek, OPPO, Samsung, Tencent, Vivo और Xiaomi जैसे विक्रेताओं के नौ में से आठ ऐप्स में कमजोरियों का पता लगाया। एकमात्र विक्रेता जिसके कीबोर्ड ऐप में कोई सुरक्षा खामी नहीं थी, वह हुआवेई का है।
शोधकर्ताओं जेफरी नॉकेल, मोना वांग और ज़ो रीचर्ट ने कहा, "पारगमन में उपयोगकर्ताओं के कीस्ट्रोक्स की सामग्री को पूरी तरह से प्रकट करने के लिए" कमजोरियों का फायदा उठाया जा सकता है। यह खुलासा टोरंटो विश्वविद्यालय स्थित अंतःविषय प्रयोगशाला के पूर्व शोध पर आधारित है, जिसने पिछले अगस्त में Tencent के सोगौ इनपुट पद्धति में क्रिप्टोग्राफ़िक खामियों की पहचान की थी।
सामूहिक रूप से यह अनुमान लगाया गया है कि करीब एक अरब उपयोगकर्ता इस वर्ग की कमजोरियों से प्रभावित हैं, जिसमें सोगौ, Baidu और iFlytek के इनपुट मेथड एडिटर्स (IME) बाजार हिस्सेदारी का एक बड़ा हिस्सा रखते हैं। Tencent QQ पिनयिन, जो CBC पैडिंग ओरेकल हमले के प्रति संवेदनशील है, जिससे प्लेनटेक्स्ट को पुनर्प्राप्त करना संभव हो सकता है।
Baidu IME, जो BAIDUv3।1 एन्क्रिप्शन प्रोटोकॉल में एक बग के कारण नेटवर्क छिपकर बातें सुनने वालों को नेटवर्क ट्रांसमिशन को डिक्रिप्ट करने और विंडोज़ पर टाइप किए गए टेक्स्ट को निकालने की अनुमति देता है। iFlytek IME, जिसका एंड्रॉइड ऐप नेटवर्क छिपकर बातें सुनने वालों को अपर्याप्त रूप से एन्क्रिप्टेड नेटवर्क ट्रांसमिशन के प्लेनटेक्स्ट को पुनर्प्राप्त करने की अनुमति देता है।
एंड्रॉइड पर सैमसंग कीबोर्ड, जो सादे, अनएन्क्रिप्टेड HTTP के माध्यम से कीस्ट्रोक डेटा प्रसारित करता है। Xiaomi, जो Baidu, iFlytek, और Sogou के कीबोर्ड ऐप्स के साथ प्रीइंस्टॉल्ड आता है (और इसलिए उन्हीं उपरोक्त खामियों के प्रति संवेदनशील है)। OPPO, जो Baidu और Sogou के कीबोर्ड ऐप्स के साथ प्रीइंस्टॉल्ड आता है (और इसलिए उन्हीं उपरोक्त खामियों के प्रति संवेदनशील है)।
विवो, जो सोगौ आईएमई के साथ पहले से इंस्टॉल आता है (और इसलिए उपरोक्त दोष के प्रति संवेदनशील है)। ऑनर, जो Baidu IME के साथ पहले से इंस्टॉल आता है (और इसलिए उपरोक्त दोष के प्रति संवेदनशील है)।
इन कमजोरियों का सफल दोहन विरोधियों को बिना कोई अतिरिक्त नेटवर्क ट्रैफ़िक भेजे चीनी मोबाइल उपयोगकर्ताओं के कीस्ट्रोक्स को पूरी तरह से निष्क्रिय रूप से डिक्रिप्ट करने की अनुमति दे सकता है। जिम्मेदार प्रकटीकरण के बाद, ऑनर और टेनसेंट (क्यूक्यू पिनयिन) को छोड़कर प्रत्येक कीबोर्ड ऐप डेवलपर ने 1 अप्रैल, 2024 तक मुद्दों को संबोधित किया है।
उपयोगकर्ताओं को सलाह दी जाती है कि वे अपने ऐप्स और ऑपरेटिंग सिस्टम को अपडेट रखें और इन गोपनीयता समस्याओं को कम करने के लिए एक कीबोर्ड ऐप पर स्विच करें जो पूरी तरह से डिवाइस पर काम करता हो।
अन्य सिफ़ारिशें ऐप डेवलपर्स को घरेलू संस्करण विकसित करने के बजाय अच्छी तरह से परीक्षण किए गए और मानक एन्क्रिप्शन प्रोटोकॉल का उपयोग करने के लिए कहती हैं जिनमें सुरक्षा समस्याएं हो सकती हैं। ऐप स्टोर संचालकों से भी आग्रह किया गया है कि वे सुरक्षा अपडेट को जियोब्लॉक न करें और डेवलपर्स को एन्क्रिप्शन के साथ प्रसारित होने वाले सभी डेटा को प्रमाणित करने की अनुमति दें।
सिटीजन लैब ने सिद्धांत दिया कि यह संभव है कि चीनी ऐप डेवलपर्स "पश्चिमी" क्रिप्टोग्राफ़िक मानकों का उपयोग करने के लिए कम इच्छुक हैं, इस चिंता के कारण कि उनमें अपने स्वयं के पिछले दरवाजे हो सकते हैं, जो उन्हें इन-हाउस सिफर विकसित करने के लिए प्रेरित कर सकते हैं।
"इन कमजोरियों के दायरे को देखते हुए, उपयोगकर्ता अपने उपकरणों पर क्या टाइप करते हैं इसकी संवेदनशीलता, जिस आसानी से इन कमजोरियों की खोज की गई है, और यह कि फाइव आइज़ ने पहले निगरानी के लिए चीनी ऐप्स में इसी तरह की कमजोरियों का फायदा उठाया है, यह संभव है कि ऐसा हो शोधकर्ताओं ने कहा, ''उपयोगकर्ताओं के कीस्ट्रोक्स भी बड़े पैमाने पर निगरानी में रहे होंगे।''