ચાઇનીઝ સ્પીકર્સ માટે લોકપ્રિય કીબોર્ડ એપ્લિકેશન્સમાં જટિલ ખામીઓ ઇન્ટરનેટ વોચડોગ જૂથ સિટીઝન લેબ દ્વારા બહાર કાઢવામાં આવી છે, જે સંભવિતપણે એક અબજ વપરાશકર્તાઓને સુરક્ષા જોખમો માટે ખુલ્લા પાડે છે.
આ નબળાઈઓ Baidu, Samsung, Tencent, Xiaomi અને અન્ય જેવી મોટી કંપનીઓની એપ્સમાં જોવા મળી હતી, જે ક્લાઉડ-આધારિત પિનયિન કીબોર્ડનો ઉપયોગ કરે છે-જે પદ્ધતિ ચાઈનીઝ અક્ષરોને રોમનાઈઝ કરવા માટે મેઈનલેન્ડ ચાઈનામાં વ્યાપકપણે ઉપયોગમાં લેવાય છે.
Citizen Lab ની તપાસ Baidu, Honor, Huawei, iFlyTek, OPPO, Samsung, Tencent, Vivo અને Xiaomi સહિત અનેક વિક્રેતાઓ પાસેથી પ્રી-ઇન્સ્ટોલ કરેલી કીબોર્ડ એપ્સ પર કેન્દ્રિત હતી. ધ્યેય નબળાઈઓને ઓળખવાનો હતો જે દૂષિત અભિનેતાઓને વપરાશકર્તાના ઉપકરણ અને ક્લાઉડ વચ્ચે પ્રસારિત ડેટાને અટકાવી શકે છે. ચકાસાયેલ વિક્રેતાઓમાં, માત્ર Huawei ની એપ્લિકેશન સુરક્ષા મૂલ્યાંકનમાંથી સહીસલામત બહાર આવી છે.
સિટીઝન લેબ દ્વારા શોધાયેલી નબળાઈઓ સંભવિતપણે લાખો વપરાશકર્તાઓને અસર કરી શકે છે, ખાસ કરીને ચીનમાં, જ્યાં Honor, OPPO અને Xiaomi સામૂહિક રીતે સ્માર્ટફોન માર્કેટમાં નોંધપાત્ર હિસ્સો ધરાવે છે.
સંશોધકોએ તપાસ કરેલ નવ વિક્રેતાઓમાંથી આઠમાંથી કીબોર્ડ એપ્સમાં નિર્ણાયક ખામીઓ શોધી કાઢી હતી, જે તેમને ટ્રાન્ઝિટમાં વપરાશકર્તાઓના કીસ્ટ્રોકની સામગ્રીને અટકાવવા અને જોવા માટે સક્ષમ બનાવે છે. મોટાભાગની સંવેદનશીલ એપ્સનો નિષ્ક્રિય નેટવર્ક ઇવડ્રોપર્સ દ્વારા શોષણ કરવામાં આવી શકે છે, જે ગંભીર ગોપનીયતા અને સુરક્ષા જોખમો ઉભી કરે છે.
જો કે સિટીઝન લેબએ તમામ અસરગ્રસ્ત વિક્રેતાઓને નબળાઈઓ વિશે જાણ કરી હતી, પરંતુ માત્ર Honor 1લી એપ્રિલની સમયમર્યાદા સુધીમાં સમસ્યાઓનું નિરાકરણ કરવામાં નિષ્ફળ ગયું હતું.
આ કીબોર્ડ એપ્સમાં સુરક્ષાની નબળાઈઓ ઈન્ટરનેટ પર ટાઈપિંગ ડેટા કેવી રીતે પ્રસારિત થાય છે તેના પરથી ઉદ્ભવી છે. લેટિન-આધારિત મૂળાક્ષરોનો ઉપયોગ કરતા કીબોર્ડથી વિપરીત, પિનયિન કીબોર્ડ વધુ અસરકારક રીતે ચાઈનીઝ શબ્દો અને અક્ષરોની આગાહી કરવા માટે ક્લાઉડ-આધારિત સર્વર પર આધાર રાખે છે. આનો અર્થ એ છે કે વપરાશકર્તાઓ દ્વારા ટાઈપ કરાયેલા ઉચ્ચારણની લાંબી તાર રિમોટ સર્વર્સ પર મોકલવામાં આવે છે, જે સંભવિતપણે વપરાશકર્તાની ગોપનીયતા સાથે ચેડા કરી શકે છે.
સંશોધકોના મતે, ક્લાઉડ-આધારિત કીબોર્ડ્સ સર્વેલન્સ જોખમો પેદા કરે છે અને અનિવાર્યપણે કીલોગર્સ તરીકે કાર્ય કરી શકે છે, વપરાશકર્તાઓ દ્વારા ટાઇપ કરેલી સંવેદનશીલ માહિતીને કેપ્ચર કરી શકે છે. આમાં ટેક્સ્ટ સંદેશાઓ, લૉગિન ઓળખપત્રો, પાસવર્ડ્સ અને નાણાકીય ડેટા શામેલ છે. જો વપરાશકર્તાઓ મેસેજિંગ સેવાઓમાં એન્ડ-ટુ-એન્ડ એન્ક્રિપ્શનનો ઉપયોગ કરે છે, તો પણ હુમલાખોરો તેમના ઇનપુટને એન્ક્રિપ્ટેડ અને ટ્રાન્સમિટ કરતા પહેલા અટકાવી શકે છે, તેમની ગોપનીયતા સાથે સમાધાન કરી શકે છે.
જ્યારે મોટાભાગના વિક્રેતાઓએ સિટીઝન લેબ દ્વારા ઓળખવામાં આવેલી નબળાઈઓને સંબોધિત કરી છે, ત્યારે વપરાશકર્તાઓને તેમના ઉપકરણો સુરક્ષિત છે તેની ખાતરી કરવા માટે તેમની કીબોર્ડ એપ્લિકેશન્સ અને ઓપરેટિંગ સિસ્ટમ્સને અપડેટ કરવાની સલાહ આપવામાં આવે છે. જો કે, સંશોધકો ગોપનીયતા અને સુરક્ષાને વધારવા માટે સંપૂર્ણ રીતે ઓન-ડિવાઈસ ઓપરેટ કરતી કીબોર્ડ એપ્સ પર સ્વિચ કરવાની ભલામણ કરે છે.