800 milionů uživatelů v ohrožení? Klávesnice od Xiaomi, Samsungu, Honoru a dalších měly kritické chyby

• Asi 780 milionů uživatelů bylo ohroženo chybami v klávesnicích
• Zranitelnosti obsahovaly i klávesnice od Xiaomi, Honoru či Samsungu
• Spotřebitele mimo Čínu by neměly nijak zasáhnout

Experti z kanadské organizace Citizen Lab, spadající pod Torontskou univerzitu, vydali zprávu informující o kritických chybách nalezených v (nejen) mobilních klávesnicích od mnoha výrobců elektroniky včetně Xiaomi, Samsungu nebo Honoru. V důsledku jejich existence útočníci teoreticky mohli monitorovat každý jeden úhoz uživatele a odhalit tak například jeho přístupové údaje do on-line služeb. Ze zprávy vyplývá, že jsou v ohrožení pouze čínští spotřebitelé. Jenom na mobilech se mohlo riziko týkat 780 milionů lidí. Zranitelnosti, o kterých výzkumníci informovali, údajně mohl „nevyhnutelně objevit každý, koho napadlo je hledat“. Problém spočíval v metodě zadávání čínských znaků zvané pchin-jin, která Číňanům umožňuje psát na klávesnici. Je dobře známo, že se čínská abeceda skládá z tisíců nejrůznějších znaků – podle BBC jich dohromady může být přes 50 tisíc, avšak i obsáhlé moderní slovníky jich zřídka uvedou nad 20 tisíc. Přesto se ale ve srovnání s latinkou či azbukou jedná o neskutečné kvantum, které je zcela nemožné natlačit do jedné mobilní klávesnice. Moderní technologie však učinily psaní v čínštině jednodušším s editory vstupních metod, které nabízí alternativní přístupy k zadávání čínských znaků, včetně kreslení, hlasového zadávání nebo metody pro optické rozpoznávání znaků. Jak nicméně uvádí výzkumníci z organizace Citizen Lab, více než tři čtvrtiny obyvatel pevninské Číny používají pro psaní na svých chytrých telefonech klávesnici s metodou zadávání zvanou pchin-jin, která slouží k přepisu čínských znaků do latinky. Leč některé z klávesnic fungují lokálně, tedy přímo na zařízení uživatele, mnohé z nich využívají cloudového připojení (komunikují se vzdáleným serverem), a to například v souvislosti s předpovídáním znaků na základě kontextu. S tím se mohou pojit zcela logické obavy týkající se špehování ze strany tvůrců klávesnice, nicméně experti ze Citizen Lab se zabývali výhradně otázkou špatného zabezpečení komunikace a toho, jak by zranitelnosti mohli zneužít útočníci. Experti se zaměřili na „pchin-jinové“ klávesnice od devíti společností, jmenovitě přitom šlo o kolosy Baidu, Honor, Huawei, iFlytek, Oppo, Samsung, Tencent, Vivo a Xiaomi. Vítězně vyšel jenom Huawei, u klávesnic ostatních firem pak byly nalezeny méně či více závažné díry. Výzkumníci o chybách v klávesnicích informovali všechny zasažené společnosti, které na upozornění většinou reagovaly. Žádné vyjádření se však Citizen Labu nedostalo od firem Xiaomi, Vivo a Baidu. Poslední jmenovaná měla údajně opravit ty nejzávažnější zranitelnosti, ale nevyřešila je zcela všechny.

Jakým způsobem chráníte na internetu svá data?

Zdroje: Citizen Lab, The Register, The Hacker News, Wikipedia, BBC