Vulnérabilité majeure dans les applications de clavier
Une récente étude menée par le Citizen Lab a mis en lumière des failles critiques dans les applications de clavier pinyin basées sur le cloud. Huit des neuf applications examinées, développées par des géants tels que Baidu, Honor, iFlytek, OPPO, Samsung, Tencent, Vivo et Xiaomi, présentaient des vulnérabilités permettant potentiellement à des acteurs malveillants d’accéder au contenu des frappes de l’utilisateur lors de leur transmission.
Analogie de la vulnérabilité
Imaginez cela comme une maison avec plusieurs fenêtres où, normalement, des rideaux empêchent les passants de voir à l’intérieur. Ici, les rideaux seraient défectueux, permettant à quiconque de jeter facilement un coup d’œil à l’intérieur.
Concernant les résultats de leur enquête, les chercheurs ont révélé des méthodes par lesquelles les attaquants pourraient intercepter et décrypter ces données. Par exemple, Tencent QQ Pinyin était vulnérable aux attaques par Oracle de remplissage CBC, permettant la récupération de textes en clair.
Sur un plan positif, la majorité des développeurs des applications impliquées ont corrigé les failles en question à la suite de cette révélation, à l’exception de Honor et Tencent (QQ Pinyin).
Conseils de protection
Pour les utilisateurs, une des mesures de précaution les plus efficaces serait de mettre à jour régulièrement leurs applications et systèmes d’exploitation. Opter pour des applications de clavier fonctionnant intégralement hors ligne pourrait également contribuer à renforcer leur sécurité.
Cette affaire souligne la nécessité cruciale pour les développeurs d’adopter des protocoles de cryptage éprouvés et standards au lieu de solutions maison, potentiellement vulnérables. Enfin, les opérateurs de magasins d’applications ne devraient pas géobloquer les mises à jour de sécurité, assurant ainsi que les correctifs nécessaires atteignent tous les utilisateurs globalement.
