Vaikeklaviatuurid on sisse lülitatud Au, Oppo ja Xiaomi seadmed on väidetavalt rünnakute suhtes haavatavad, teatas Toronto akadeemiline uurimisrühm Citizen Lab.
Avastust jagati pärast mitme pilvepõhise pinyini klaviatuurirakenduse uurimist. Grupi andmetel leiti, et kaheksa üheksast testimisega seotud müüjast edastasid klahvivajutusi, mis tähendab potentsiaalseid probleeme miljardi kasutaja jaoks. Raporti kohaselt võib haavatavus paljastada kasutajate tundlikku teavet koos klaviatuuride abil sisestatava sisuga.
Probleemist teatati kohe müüjatele, kes vastasid haavatavuste parandamisega. Uurimisrühm märkis siiski, et "mõned klaviatuurirakendused on endiselt haavatavad." Oma avalduses nimetas grupp mõningaid kaasatud kaubamärke, sealhulgas Honor, OPPO ja Xiaomi.
„Ainuüksi Sogou, Baidu ja iFlyteki IME-d moodustavad Hiinas üle 95% kolmandate osapoolte IME-de turuosast, mida kasutab ligikaudu miljard inimest. Lisaks kolmandate osapoolte klaviatuurirakenduste kasutajatele leidsime, et ka kolme tootja (Honor, OPPO ja Xiaomi) seadmete vaikeklaviatuurid olid rünnakute suhtes haavatavad.
„Samsungi ja Vivo seadmed ühendasid ka haavatava klaviatuuri, kuid seda ei kasutatud vaikimisi. 2023. aastal moodustasid ainuüksi Honor, OPPO ja Xiaomi Hiinas peaaegu 50% nutitelefonide turust,” jagati aruandes.
Tulemustega soovib rühm hoiatada kasutajaid klaviatuurirakenduste eest. Meeskonna sõnul peaksid QQ pinyini või eelinstallitud klaviatuuri kasutajad kaaluma üleminekut uutele usaldusväärsetest allikatest pärit klaviatuuridele. Sama kehtib ka Baidu IME klaviatuuri kasutajate kohta, kellel on ka võimalus keelata oma pihuarvutite klaviatuuride pilvepõhine funktsioon. Sogou, Baidu või iFlyteki klaviatuuri kasutajatel seevastu soovitatakse värskendada oma rakendusi ja seadmesüsteeme.
