스마트폰용 키보드앱 중 일부는 예측변환 기능을 제공하기 위해 입력내용을 클라우드로 전송합니다. 토론토대학의 연구기관인 'Citizen Lab'이 중국어 키보드앱을 분석한 결과 9사 중 8사의 앱에 키입력을 가로채는 취약성이 포함되어 있는 것으로 드러났습니다.

The not-so-silent type: Vulnerabilities across keyboard apps reveal keystrokes to network eavesdroppers - The Citizen Lab
https://citizenlab.ca/2024/04/vulnerabilities-across-keyboard-apps-reveal-keystrokes-to-network-eavesdroppers/

The not-so-silent type: Vulnerabilities across keyboard apps reveal keystrokes to network eavesdroppers - The Citizen Lab

In this report, we examine cloud-based pinyin keyboard apps from nine vendors (Baidu, Honor, Huawei, iFlyTek, OPPO, Samsung, Tencent, Vivo, and Xiaomi) for vulnerabilities in how the apps transmit user keystrokes. Our analysis found that eight of the nine

citizenlab.ca


Chinese Keyboard App Vulnerabilities Explained - The Citizen Lab
https://citizenlab.ca/2024/04/chinese-keyboard-app-vulnerabilities-explained/

Chinese Keyboard App Vulnerabilities Explained - The Citizen Lab

We analyzed third-party keyboard apps Tencent QQ, Baidu, and iFlytek, on the Android, iOS, and Windows platforms. Along with Tencent Sogou, they comprise over 95% of the market share for third-party keyboard apps in China. This is an FAQ for the full repor

citizenlab.ca


스마트폰이나 PC에 탑재되어 있는 예측변환 기능이나 예측입력 기능은 일본어나 영어의 경우는 기본적으로 로컬로 동작합니다. 한편 중국어용으로 개발되고 있는 키보드앱이나 IME에서는 예측입력 기능의 정밀도 향상을 위해서 입력내용을 클라우드에 송신하고 있는 경우가 많다고 합니다. 이 때문에 클라우드로의 전송기능에 취약점이 존재하면 공격자에게 입력내용이 유출될 위험이 있습니다. 따라서 Citizen Lab은 클라우드를 통해 예측입력 기능을 제공하는 소프트웨어를 분석하여 입력내용이 도용될 위험을 확인했습니다.

Citizen Lab은 'Tencent', 'Baidu', 'iFlytek', 'Samsung', 'Huawei', 'Xiaomi', 'OPPO', 'Vivo', 'Honor'가 제공하는 Android 및 iOS용 키보드앱과 Windows용 IME를 분석했습니다. 그 결과 Huawei를 제외한 8개 소프트웨어에 입력내용을 훔치는 취약점이 존재하는 것으로 나타났습니다. 특히 삼성의 키보드앱 '삼성 키보드'는 입력내용을 암호화하지 않고 클라우드로 전송했습니다.

Citizen Lab은 키보드앱 취약점으로 인해 최대 10억 명의 사용자가 유출 위험에 노출되어 있다고 경고했습니다. Citizen Lab은 이 문제를 각 회사에 통지했으며 Baidu 이외의 7사는 문제에 대한 대처를 완료했다고 합니다. Baidu는 Citizen Lab의 통지 직후 문제의 일부를 수정했지만 여전히 문제가 남아 있다고 합니다.

Citizen Lab은 사용자에게 다음과 같은 조치를 권고했습니다.

・키보드앱이나 IME의 「클라우드 기반의 예측입력 기능」을 무효화한다
・키보드앱이나 IME의 액세스 권한을 제한한다
・Tencent가 2024년 1분기까지의 수정을 약속했지만 개선되지 않은 'QQ Pinyin'의 사용자는 즉시 사용을 중지한다
・Honor의 디바이스의 사용자는 프리 인스톨 되어 있는 Baidu의 키보드앱 사용을 중지한다
・키보드앱이나 IME를 최신판으로 업데이트
한다
・Google과 Apple에서 제공하는 표준 키보드 앱 사용한다

Posted by 말총머리
,