스마트폰용 키보드앱 중 일부는 예측변환 기능을 제공하기 위해 입력내용을 클라우드로 전송합니다. 토론토대학의 연구기관인 'Citizen Lab'이 중국어 키보드앱을 분석한 결과 9사 중 8사의 앱에 키입력을 가로채는 취약성이 포함되어 있는 것으로 드러났습니다.
The not-so-silent type: Vulnerabilities across keyboard apps reveal keystrokes to network eavesdroppers - The Citizen Lab
https://citizenlab.ca/2024/04/vulnerabilities-across-keyboard-apps-reveal-keystrokes-to-network-eavesdroppers/
The not-so-silent type: Vulnerabilities across keyboard apps reveal keystrokes to network eavesdroppers - The Citizen Lab
In this report, we examine cloud-based pinyin keyboard apps from nine vendors (Baidu, Honor, Huawei, iFlyTek, OPPO, Samsung, Tencent, Vivo, and Xiaomi) for vulnerabilities in how the apps transmit user keystrokes. Our analysis found that eight of the nine
citizenlab.ca
Chinese Keyboard App Vulnerabilities Explained - The Citizen Lab
https://citizenlab.ca/2024/04/chinese-keyboard-app-vulnerabilities-explained/
Chinese Keyboard App Vulnerabilities Explained - The Citizen Lab
We analyzed third-party keyboard apps Tencent QQ, Baidu, and iFlytek, on the Android, iOS, and Windows platforms. Along with Tencent Sogou, they comprise over 95% of the market share for third-party keyboard apps in China. This is an FAQ for the full repor
citizenlab.ca
스마트폰이나 PC에 탑재되어 있는 예측변환 기능이나 예측입력 기능은 일본어나 영어의 경우는 기본적으로 로컬로 동작합니다. 한편 중국어용으로 개발되고 있는 키보드앱이나 IME에서는 예측입력 기능의 정밀도 향상을 위해서 입력내용을 클라우드에 송신하고 있는 경우가 많다고 합니다. 이 때문에 클라우드로의 전송기능에 취약점이 존재하면 공격자에게 입력내용이 유출될 위험이 있습니다. 따라서 Citizen Lab은 클라우드를 통해 예측입력 기능을 제공하는 소프트웨어를 분석하여 입력내용이 도용될 위험을 확인했습니다.
Citizen Lab은 'Tencent', 'Baidu', 'iFlytek', 'Samsung', 'Huawei', 'Xiaomi', 'OPPO', 'Vivo', 'Honor'가 제공하는 Android 및 iOS용 키보드앱과 Windows용 IME를 분석했습니다. 그 결과 Huawei를 제외한 8개 소프트웨어에 입력내용을 훔치는 취약점이 존재하는 것으로 나타났습니다. 특히 삼성의 키보드앱 '삼성 키보드'는 입력내용을 암호화하지 않고 클라우드로 전송했습니다.
Citizen Lab은 키보드앱 취약점으로 인해 최대 10억 명의 사용자가 유출 위험에 노출되어 있다고 경고했습니다. Citizen Lab은 이 문제를 각 회사에 통지했으며 Baidu 이외의 7사는 문제에 대한 대처를 완료했다고 합니다. Baidu는 Citizen Lab의 통지 직후 문제의 일부를 수정했지만 여전히 문제가 남아 있다고 합니다.
Citizen Lab은 사용자에게 다음과 같은 조치를 권고했습니다.
・키보드앱이나 IME의 「클라우드 기반의 예측입력 기능」을 무효화한다
・키보드앱이나 IME의 액세스 권한을 제한한다
・Tencent가 2024년 1분기까지의 수정을 약속했지만 개선되지 않은 'QQ Pinyin'의 사용자는 즉시 사용을 중지한다
・Honor의 디바이스의 사용자는 프리 인스톨 되어 있는 Baidu의 키보드앱 사용을 중지한다
・키보드앱이나 IME를 최신판으로 업데이트
한다
・Google과 Apple에서 제공하는 표준 키보드 앱 사용한다
'IT' 카테고리의 다른 글
| YouTube가 광고차단툴 단속을 강화...타사 앱도 금지 (0) | 2024.04.16 |
|---|---|
| 안드로이드에 새로운 '디바이스 찾기' 기능이 등장... 10억대 이상의 네트워크를 이용해 Pixel 8나 8 Pro는 꺼져도 발견 가능 (0) | 2024.04.09 |
| 양자컴퓨팅의 방대한 에러의 원인이 되는 '노이즈'를 800배 억제하는 차세대 기술을 Microsoft와 Quantinuum이 개발 (0) | 2024.04.04 |
| 무장세력의 공격에 표류하던 화물선으로 인해 홍해의 해저케이블이 절단 (0) | 2024.04.04 |
| NVIDIA(엔비디아)란? AI 반도체의 특징과 대단한 점 (0) | 2024.03.22 |
| 'Apex Legends'에 리모트 코드 실행 익스플로잇의 가능성...대회 중의 프로선수를 공격 (0) | 2024.03.19 |
| 원주율을 105조 자리까지 계산...소요시간은 70일 미만 (0) | 2024.03.17 |
| Google의 크롬이 실시간 URL 보호기능을 도입 (0) | 2024.03.15 |
