De enorme omvang van het probleem wordt nog verergerd door het feit dat deze kwetsbaarheden niet moeilijk te misbruiken zijn. “Je hebt geen enorme supercomputers met cijfers nodig om dit uit te zoeken. Je hoeft geen terabytes aan gegevens te verzamelen om deze te verwerken”, zegt Knockel. “Als je gewoon een persoon bent die een andere persoon op je wifi wil targeten, kun je dat doen zodra je de kwetsbaarheid beseft.”
Het gemak waarmee de kwetsbaarheid kan worden uitgebuit en de enorme opbrengst – alles weten wat een persoon typt, mogelijk inclusief wachtwoorden voor bankrekeningen of vertrouwelijk materiaal – suggereren dat het waarschijnlijk is dat hackers ze al hebben uitgebuit, aldus de onderzoekers. Maar daar is geen bewijs voor, ook al richtten staatshackers die voor westerse overheden werkten zich in 2011 op een soortgelijk gat in een Chinese browser-app.
De meeste gaten in dit rapport liggen “zo ver achter bij de moderne best practices” dat het heel gemakkelijk is om te ontcijferen wat mensen typen, zegt Jedidiah Crandall, universitair hoofddocent beveiliging en cryptografie aan de Arizona State University, die advies gaf over het schrijven. van dit rapport. Omdat het niet veel moeite kost om berichten te ontcijferen, kan dit soort maas in de wet een uitstekend doelwit zijn voor surveillance van grote groepen, zegt hij.
Nadat de onderzoekers contact hadden opgenomen met de bedrijven die deze toetsenbordapps ontwikkelden, werden de meeste mazen in de wet gedicht. Samsung, wiens app ook niet voldoende versleuteld bleek te zijn, stuurde een bericht MIT-technologierecensie verklaring per e-mail: “We zijn ons bewust van de potentiële kwetsbaarheden en hebben patches uitgegeven om deze problemen aan te pakken. Zoals altijd moedigen we alle gebruikers aan om hun apparaten bij te werken met de nieuwste software om het hoogst mogelijke beschermingsniveau te garanderen.”
Maar verschillende bedrijven hebben nagelaten actie te ondernemen en de kwetsbaarheid bestaat nog steeds in sommige apps en telefoons, waaronder QQ Pinyin en Baidu, evenals in elke toetsenbordapp die niet is bijgewerkt naar de nieuwste versie. Baidu, Tencent en iFlytek reageerden niet op vragen van verslaggevers MIT-technologierecensie.
Een mogelijke oorzaak van de alomtegenwoordigheid van de gaten is dat de meeste van deze toetsenbordapps in de jaren 2000 zijn ontwikkeld, voordat het TLS-protocol algemeen werd geaccepteerd in de softwareontwikkeling. Hoewel de apps sindsdien talloze updates hebben ondergaan, heeft inertie ontwikkelaars er mogelijk van weerhouden een veiliger alternatief te adopteren.
Het rapport merkt op dat taalbarrières en verschillende technologische ecosystemen voorkomen dat Engels- en Chineessprekende beveiligingsonderzoekers informatie delen die dergelijke problemen sneller zou kunnen oplossen. Omdat de Google Play Store in China bijvoorbeeld geblokkeerd is, zijn de meeste Chinese apps niet beschikbaar op Google Play, waar westerse onderzoekers vaak zoeken naar apps om te analyseren.
Soms kost het gewoon wat extra moeite. Nadat twee e-mails over het probleem aan iFlytek met stilte werden ontvangen, veranderden onderzoekers van Citizen Lab het onderwerp van de e-mail in het Chinees en voegden een samenvatting van één regel in het Chinees toe aan de Engelse tekst. Slechts drie dagen later ontvingen ze een e-mail van iFlytek waarin stond dat het probleem was opgelost.
Update: het verhaal is bijgewerkt met een verklaring van Samsung.