2024-04-26 16:20:51
Votre application de clavier sur votre smartphone peut vous écouter discrètement. À chaque mot que vous tapez à l’écran, quelqu’un pourrait accéder à vos informations sensibles, y compris votre mot de passe de connexion.
Une enquête récente menée par le Citizen Lab de l’Université de Toronto a révélé des vulnérabilités alarmantes dans presque toutes les applications de clavier conçues pour saisir des caractères chinois sur les appareils mobiles. Cette faille affecte les utilisateurs de diverses plateformes, notamment Android et iOS, exposant potentiellement leurs données sensibles à un accès non autorisé.
Vulnérabilité généralisée parmi les applications de clavier Pinyin
(Photo : Chris J. Davis d’Unsplash)
Les utilisateurs mobiles doivent se méfier du fait que les applications de clavier contenant des caractères chinois pourraient capturer leurs frappes, ouvrant ainsi la voie au vol de leurs données de connexion à leur insu.
L’étude s’est concentrée sur les applications Pinyin basées sur le cloud, utilisées pour convertir les caractères chinois en mots orthographiés avec des lettres romaines. Ces applications sont populaires parmi les utilisateurs en Chine et sont fournies par neuf fournisseurs majeurs, dont Baidu, Samsung, Huawei, Tencent, Xiaomi, Vivo, OPPO, iFlytek et Honor. Les résultats ont indiqué que toutes les applications, à l’exception de celle de Huawei, transmettaient les données de frappe au cloud de manière non cryptée, permettant une interception facile par les oreilles indiscrètes.
Les chercheurs ont souligné que cette vulnérabilité n’était pas limitée aux développeurs mineurs ; de grands géants de la technologie ont également été impliqués. Les données à risque comprennent des informations hautement sensibles telles que les identifiants de connexion, les données financières et les messages privés que les utilisateurs s’attendent à ce qu’ils soient cryptés de bout en bout.
« Toutes les vulnérabilités que nous avons couvertes dans ce rapport peuvent être exploitées de manière entièrement passive sans envoyer de trafic réseau supplémentaire. En tant que tel, on peut se demander si ces vulnérabilités sont activement exploitées en masse ? » le ont déclaré les chercheurs.
Ils ont ajouté qu’il n’était pas nécessaire de recourir à un moyen plus complexe pour détecter ces vulnérabilités puisqu’elles sont faciles à démarrer et à découvrir.
Article connexe : Les appels Zoom sont vulnérables aux écoutes clandestines : les chercheurs révèlent une menace alarmante
Répartition technique des failles
L’examen du Citizen Lab a montré que chaque application de clavier concernée se compose de deux composants : un composant local sur l’appareil et un service de prédiction basé sur le cloud. Cette configuration permet de gérer des caractères complexes et de longues chaînes de syllabes, mais introduit également des risques de sécurité importants. Il a été constaté que les applications des grandes entreprises technologiques et des développeurs de logiciels mobiles transmettaient les données des utilisateurs en texte clair.
Par exemple, l’application QQ Pinyin de Tencent pour Android et Windows a été spécifiquement signalée pour une vulnérabilité qui permettait le décryptage des frappes au clavier via des méthodes d’écoute actives.
De même, l’IME de Baidu pour Windows était exploitable via des écoutes clandestines actives et passives, ce qui témoigne d’une grave préoccupation concernant la confidentialité des utilisateurs et la sécurité des données.
Fournisseurs de matériel et transmission cryptée
Selon SombreLecture, l’étude a également mis en évidence des problèmes liés aux applications développées ou utilisées par les fabricants de matériel. L’application de clavier interne de Samsung, par exemple, n’offrait aucun cryptage, envoyant ouvertement les données de frappe. Bien que Samsung propose des alternatives telles que l’application Sogou de Tencent ou l’application de Baidu, celles-ci ont également été jugées vulnérables par les recherches du Citizen Lab.
Données exposées des utilisateurs de l’application de clavier chinois
Les implications de ces vulnérabilités sont vastes, affectant potentiellement jusqu’à un milliard d’utilisateurs, selon les estimations du Citizen Lab. Les données exposées pourraient être exploitées à des fins de surveillance de masse, non seulement par des entités nationales mais également par les services de renseignement internationaux.
Le rapport établit des parallèles avec d’anciennes failles de sécurité découvertes dans d’autres logiciels développés en Chine, tels que le navigateur UC, qui avaient été exploités par les agences de renseignement des pays Five Eyes à des fins de surveillance.
Lire aussi : Votre téléphone pourrait vous écouter : voici comment empêcher les applications d’envahir votre vie privée
ⓒ 2024 TECHTIMES.com Tous droits réservés. Ne pas reproduire sans permission.
#Presque #toutes #les #applications #clavier #contenant #des #caractères #chinois #peuvent #collecter #vos #informations #didentification #personnelles
1714161983