Разработчики: | Sogou |
Дата премьеры системы: | август 2023 г. |
Отрасли: | Информационные технологии |
2023: Утечка данных 455 млн пользователей
Программное обеспечение для ввода китайских иероглифов Sogou Input Method на компьютерах и мобильных устройствах содержит опасные уязвимости в системе шифрования, которые ставят под угрозу персональные данные приблизительно 455 млн пользователей. Об этом говорится в отчете ИБ-организации Citizen Lab, обнародованном 9 августа 2023 года.
Специалисты Citizen Lab проанализировали версии Sogou Input Method для платформ Windows, Android и iOS. В частности, изучался механизм шифрования EncryptWall — собственная разработка компании Sogou (является дочерней структурой Tencent). Было установлено, что передающиеся через сеть пакеты, содержащие конфиденциальные пользовательские данные, такие как сведения о нажатых клавишах, могут быть расшифрованы третьей стороной.
Проблема затрагивает приложения Sogou Input Method для Windows и Android, но не для iOS. Механизм EncryptWall уязвим к атакам типа Padding Oracle, которые эксплуатируют особенности шифрования в режиме CBC (Cipher Block Chaining). Это режим сцепления блоков шифротекста — один из режимов кодирования для симметричного блочного шифра с использованием механизма обратной связи. Результатом успешной атаки может быть перехват сообщений пользователей.
Исследователи отмечают, что нажатия клавиш, поступающие от пользователей Sogou Input Method со всего мира, передаются на серверы в материковом Китае, которые находятся под правовой юрисдикцией местного правительства. Поэтому в распоряжении китайских властей может оказаться информация от любого из пользователей названного ПО. Citizen Lab говорит, что проведенный анализ показывает, насколько важно для китайских разработчиков программного обеспечения полагаться на проверенные реализации шифрования, такие как TLS, а не разрабатывать свои собственные.[1]