Cómo las aplicaciones de teclado chino podrían poner en riesgo la seguridad en línea de cientos de millones en China

«Así que queríamos analizar eso con más detalle y ver si esta aplicación está cifrando adecuadamente estos datos tan confidenciales que envía a través de la red o, como descubrimos, ¿lo está haciendo incorrectamente de una manera que los espías puedan decodificar?»

Autocompletar: cómo la informática china está acabando con la escritura

De hecho, lo que él y sus colegas descubrieron es que el sistema de cifrado de Sogou podría aprovecharse para interceptar y descifrar exactamente lo que la gente escribe, a medida que lo escribe.

«La privacidad del usuario es fundamental para nuestro negocio», afirma un representante de Sogou. «Hemos abordado los problemas identificados por Citizen Lab y continuaremos trabajando para que los datos de los usuarios permanezcan seguros y protegidos. Revelamos de forma transparente nuestras actividades de procesamiento de datos en nuestra Política de Privacidad y no compartimos los datos de los usuarios de ninguna otra manera.

Pero no hay garantía de que esta fuera la única vulnerabilidad en la aplicación, y los investigadores no examinaron otras aplicaciones de teclado populares en el mercado chino, lo que significa que el omnipresente software aún representaría un riesgo de seguridad para cientos de millones de personas.

Es alarmante que el potencial de explotación haga que las comunicaciones cifradas de los usuarios chinos (en aplicaciones como Signal, por ejemplo) sean vulnerables a los sistemas de vigilancia estatales.

Las aplicaciones de teclado, oficialmente llamadas editores de métodos de entrada (IME), son esenciales para escribir en idiomas que contienen más caracteres de los que permite el teclado del alfabeto latino común, como aquellos con caracteres japoneses, coreanos o hindi. Para los usuarios chinos tener un IME es casi imprescindible.

«Hay mucha ambigüedad que resolver al escribir caracteres chinos usando el alfabeto latino», dice Mona Wang, miembro del Open Technology Fund de Citizen Lab y otra coautora del informe.

Dado que la misma ortografía fonética puede coincidir con docenas o incluso cientos de caracteres chinos, y estos caracteres también pueden combinarse de diferentes maneras para convertirse en palabras diferentes, una aplicación de teclado optimizada para chino puede funcionar mucho mejor que el teclado predeterminado. .

A partir de la era de las PC, los desarrolladores de software chinos han propuesto todo tipo de productos de editor de métodos de entrada (IME) para acelerar el proceso de escritura, algunos de ellos incluso eliminan la ortografía fonética y permiten a los usuarios dibujar o seleccionar componentes del carácter chino. Como resultado, descargar software de teclado de terceros se ha convertido en una práctica estándar para todos en China.

Sogou Input Method se lanzó en 2006 y rápidamente se convirtió en la aplicación de teclado más popular del país.

Era más capaz que cualquier competidor de predecir qué carácter o palabra quería escribir un usuario, y lo hacía extrayendo texto de Internet y manteniendo una extensa biblioteca de palabras chinas.

La aplicación de teclado puede acceder a una amplia gama de información del usuario. Por ejemplo, una vez que descargue Sogou y lo agregue a las opciones de teclado de su iPhone, la aplicación le pedirá «acceso completo». Si se aprueba, cualquier cosa que el usuario escriba se puede enviar al servidor basado en la nube de Sogou.

¿Chino tradicional o simplificado? ¿Qué hay detrás de la guerra de palabras?

La conexión a la nube es lo que hace que la mayoría de las herramientas IME sean exitosas, ya que les permite mejorar la predicción de texto y habilitar otras funciones, como la capacidad de buscar GIF y memes. Pero esto también aumenta los riesgos, ya que el contenido, al menos en teoría, puede ser interceptado durante la transmisión.

Es responsabilidad de las aplicaciones cifrar los datos correctamente y evitar que esto suceda. La política de privacidad de Sogou establece que ha «adoptado medidas técnicas de seguridad estándar de la industria». […] Maximizar la prevención de fugas, destrucción, mal uso, acceso no autorizado, divulgación no autorizada o alteración de la información personal de los usuarios.

“La gente en general tenía dudas [about the security of keyboard apps] porque son publicidad [their] «La nube», dice Wang. «Es casi seguro que envían cierta cantidad de pulsaciones de teclas a través de Internet».

Sin embargo, los usuarios continuaron otorgando acceso completo a las aplicaciones.

Cuando los investigadores de Citizen Lab comenzaron a analizar el método de entrada Sogou en plataformas Windows, Android e iOS, descubrieron que utilizaba EncryptWall, un sistema de cifrado que desarrolló él mismo, en lugar de Transport Layer Security (TLS), el protocolo de cifrado internacional estándar que tiene estado en uso desde 1999.

Sí, tus dispositivos domésticos inteligentes te están escuchando

(Sogou también se usa en otras plataformas como MacOS y Linux, pero los investigadores aún no lo han estudiado).

Una diferencia crucial entre los dos sistemas de cifrado, según descubrió Citizen Lab, es que EncryptWall de Sogou sigue siendo vulnerable a un exploit que se descubrió en 2002 y puede convertir datos cifrados nuevamente en texto sin formato.

TLS se actualizó para proteger contra esto en 2003. Pero cuando usaron este exploit en Sogou, los investigadores pudieron descifrar las pulsaciones exactas que escribieron.

Los investigadores descubrieron que no todas las palabras se transmiten a la nube. «Si tú escribes nihao [‘hello’ in Mandarin] o algo así, [the app] «Podemos responder a esta pregunta sin tener que utilizar una base de datos en la nube», afirma Knokl. «Pero si lo que escribes es más complejo y, francamente, más interesante, deberías tener acceso a esa base de datos en la nube».

Cuidado con los piratas informáticos: consejos sencillos para proteger los dispositivos domésticos inteligentes

Además del contenido escrito, Knockel y sus colegas de Citizen Lab también obtuvieron otra información, como los identificadores técnicos del dispositivo del usuario, la aplicación en la que fue escrito e incluso una lista de aplicaciones instaladas en el dispositivo.

Los investigadores señalan que muchos actores maliciosos podrían estar interesados ​​en explotar una vulnerabilidad como esta y escuchar las pulsaciones de teclas, desde ciberdelincuentes que buscan información privada (como direcciones postales y números de cuentas bancarias) hasta piratas informáticos gubernamentales.

(En una respuesta escrita a Citizen Lab, Sojo dijo que es necesario transcribir el texto escrito para acceder a un vocabulario más preciso y completo en la nube y habilitar un motor de búsqueda integrado, cuyos usos se describen en el acuerdo de privacidad).

Esta vulnerabilidad particular se solucionó cuando Tencent actualizó su software multiplataforma Sogou a finales de julio. Los investigadores de Citizen Lab descubrieron que la última versión solucionó efectivamente el problema al adoptar el protocolo de cifrado TLS.

Es más, una vez que una aplicación de teclado se ve comprometida, cualquier otra aplicación fuera de línea, como la aplicación integrada en la computadora portátil, también puede representar un riesgo de seguridad.

Si bien Signal y WhatsApp no ​​respondieron a las solicitudes de comentarios, un representante de Baidu dijo: «Baidu Input Method se adhiere consistentemente a los estándares de prácticas de seguridad establecidos. Hasta la fecha, no ha habido vulnerabilidades relevantes». [the encryption exploit Sogou was vulnerable to] Dentro de los productos del método de entrada de Baidu”.

A principios de 2019, Naomi Wu, una bloguera de tecnología con sede en Shenzhen conocida en línea como sexyCyborg, hizo sonar la alarma sobre el peligro de usar aplicaciones de teclado chino junto con Signal.

«La solución para la señal es el ‘modo incógnito’, también conocido como la aplicación que dice ‘por favor, no leas todo lo que escribo’ en el teclado virtual y depende de Google/fabricantes de aplicaciones aleatorias para escuchar la bandera, no debajo de la bandera». escribió en un hilo de Twitter de 2019: “Una orden judicial para hacer lo contrario”.

Dado que las aplicaciones de teclado no están obligadas a cumplir con la solicitud de Signal, dice: «Básicamente, todos los dispositivos aquí se autopiratean cinco minutos después de encenderlos».

Consejos y trucos para evitar que la tecnología inteligente te espíe

En enero de 2021, Signal intentó aclarar que su función de teclado de incógnito (que sólo funciona en Android, que es más vulnerable que iOS) no era una solución de privacidad infalible:

«Los teclados y los IME pueden ignorar el indicador de teclado de incógnito de Android. Este indicador de Android es un mejor esfuerzo, no una garantía. Es importante utilizar un teclado o IME en el que confíes», añadió la compañía. En su artículo sobre la seguridad del teclado: «La señal no puede detectar o prevenir malware en su dispositivo”.

Los recientes hallazgos de Citizen Lab brindan más apoyo a la teoría de Wu, y los riesgos de seguridad son particularmente graves para los usuarios en China, ya que es más probable que utilicen aplicaciones de teclado y están sujetos a una estricta vigilancia gubernamental.

La propia Wu ha desaparecido de las redes sociales desde finales de junio, luego de una visita de la policía que se decía estaba relacionada con sus discusiones en línea sobre las aplicaciones Signal y de teclado.

Sin embargo, otros gobiernos también parecen haber estado preocupados por las vulnerabilidades en la transmisión de datos cifrados.

40 años de emojis: ¿cómo empezaron y qué nos depara el futuro?

Por ejemplo, un documento filtrado por Edward Snowden en 2012 muestra que la alianza de inteligencia Five Eyes (que incluye a Canadá, Estados Unidos, Gran Bretaña, Australia y Nueva Zelanda) estaba explotando en secreto una vulnerabilidad similar en UC Browser, un popular programa chino. Chino común. Interceptar ciertas transmisiones.

Además de atacar a las agencias gubernamentales, existen otras formas en que la información sobre las pulsaciones de teclas obtenida a través de aplicaciones de teclado puede venderse, filtrarse o piratearse.

En 2021, se informó que los anunciantes podían acceder a información personal a través de Sogou, así como Baidu Keyboard y aplicaciones similares, y utilizarla para publicar anuncios personalizados. En 2013, se encontró una vulnerabilidad que hacía que los archivos multimedia cargados y compartidos por los usuarios a través de Sogou pudieran buscarse en Bing.

Estos problemas de seguridad no son exclusivos de las aplicaciones chinas. En 2016, los usuarios de SwiftKey, un IME que Microsoft adquirió ese año, descubrieron que la aplicación completaba automáticamente las direcciones de correo electrónico y la información personal de otras personas, como resultado de una falla en su sistema de sincronización en la nube.

Al año siguiente, una aplicación de teclado virtual filtró accidentalmente los datos personales de 31 millones de usuarios.

Aunque la vulnerabilidad específica identificada por Citizen Lab se solucionó rápidamente, dadas todas estas infracciones, parece algo inevitable que pronto se revele otra vulnerabilidad en la aplicación de teclado.

Como señala Nokle, el uso de Sogou y aplicaciones similares siempre plantea riesgos de seguridad, especialmente en China, ya que todas las aplicaciones chinas están obligadas legalmente a entregar datos si el gobierno lo solicita.

«Si esto es algo que le preocupa, también podría reconsiderar el uso de soju, punto», dice Knockle.