Xiaomi, Oppo ਸਮੇਤ Samsung ‘ਤੇ ਚੀਨੀ ਕੀਬੋਰਡ ਐਪਸ ਵਿੱਚ ਸੁਰੱਖਿਆ ਦੀ ਕਮੀ, ਟਾਈਪ ਕਰਦੇ ਹੀ ਪਤ ਚੱਲ ਜਾਂਦਾਂ ਹੈ ਸਭ ਕੁਝ

ਸੰਕੇਤਕ ਤਸਵੀਰ

ਕਲਾਉਡ-ਅਧਾਰਿਤ ਪਿਨਯਿਨ ਕੀਬੋਰਡ ਐਪਸ ਵਿੱਚ ਸਾਹਮਣੇ ਆਈਆਂ ਸੁਰੱਖਿਆ ਕਮਜ਼ੋਰੀਆਂ ਦੀ ਵਰਤੋਂ ਨਾਪਾਕ ਅਦਾਕਾਰਾਂ ਨੂੰ ਉਪਭੋਗਤਾਵਾਂ ਦੇ ਕੀਸਟ੍ਰੋਕ ਨੂੰ ਪ੍ਰਗਟ ਕਰਨ ਲਈ ਕੀਤੀ ਜਾ ਸਕਦੀ ਹੈ। ਇਹ ਖੋਜ Citizen Lab ਤੋਂ ਆਈਆਂ ਹਨ, ਜਿਸ ਨੇ Baidu, Honor, iFlytek, OPPO, Samsung, Tencent, Vivo, ਅਤੇ Xiaomi ਵਰਗੇ ਵਿਕਰੇਤਾਵਾਂ ਦੀਆਂ ਨੌਂ ਵਿੱਚੋਂ ਅੱਠ ਐਪਾਂ ਵਿੱਚ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਪਤਾ ਲਗਾਇਆ ਹੈ।

ਖੋਜਕਰਤਾ ਜੈਫਰੀ ਨੋਕੇਲ, ਮੋਨਾ ਵੈਂਗ ਅਤੇ ਜ਼ੋ ਰੀਚਰਟ ਨੇ ਕਿਹਾ ਕਿ “ਟ੍ਰਾਂਜ਼ਿਟ ਵਿੱਚ ਉਪਭੋਗਤਾਵਾਂ ਦੇ ਕੀਸਟ੍ਰੋਕ ਦੀ ਸਮੱਗਰੀ ਨੂੰ ਪੂਰੀ ਤਰ੍ਹਾਂ ਪ੍ਰਗਟ ਕਰਨ ਲਈ” ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ। ਇਹ ਖੁਲਾਸਾ ਯੂਨੀਵਰਸਿਟੀ ਆਫ ਟੋਰਾਂਟੋ-ਅਧਾਰਤ ਅੰਤਰ-ਅਨੁਸ਼ਾਸਨੀ ਪ੍ਰਯੋਗਸ਼ਾਲਾ ਦੁਆਰਾ ਕੀਤੀ ਗਈ ਪੂਰਵ ਖੋਜ ‘ਤੇ ਆਧਾਰਿਤ ਹੈ, ਜਿਸ ਨੇ ਪਿਛਲੇ ਅਗਸਤ ਵਿੱਚ ਟੈਨਸੈਂਟ ਦੀ ਸੋਗੋ ਇਨਪੁਟ ਵਿਧੀ ਵਿੱਚ ਕ੍ਰਿਪਟੋਗ੍ਰਾਫਿਕ ਖਾਮੀਆਂ ਦੀ ਪਛਾਣ ਕੀਤੀ ਸੀ।

ਸਮੂਹਿਕ ਤੌਰ ‘ਤੇ, ਇਹ ਅੰਦਾਜ਼ਾ ਲਗਾਇਆ ਗਿਆ ਹੈ ਕਿ ਲਗਭਗ ਇੱਕ ਬਿਲੀਅਨ ਉਪਭੋਗਤਾ ਕਮਜ਼ੋਰੀਆਂ ਦੀ ਇਸ ਸ਼੍ਰੇਣੀ ਤੋਂ ਪ੍ਰਭਾਵਿਤ ਹਨ, ਜਿਸ ਵਿੱਚ Sogou, Baidu, ਅਤੇ iFlytek ਤੋਂ ਇਨਪੁਟ ਵਿਧੀ ਸੰਪਾਦਕ (IMEs) ਮਾਰਕੀਟ ਸ਼ੇਅਰ ਦੇ ਇੱਕ ਵੱਡੇ ਹਿੱਸੇ ਲਈ ਹਨ। Tencent QQ ਪਿਨਯਿਨ, ਜੋ ਕਿ ਸੀਬੀਸੀ ਪੈਡਿੰਗ ਓਰੇਕਲ ਹਮਲੇ ਲਈ ਕਮਜ਼ੋਰ ਹੈ, ਇਹ ਪਲੇਨਟੈਕਸਟ ਨੂੰ ਮੁੜ ਪ੍ਰਾਪਤ ਕਰਨਾ ਸੰਭਵ ਬਣਾ ਸਕਦਾ ਹੈ।

Baidu IME, ਜੋ ਕਿ BAIDUv3.1 ਇਨਕ੍ਰਿਪਸ਼ਨ ਪ੍ਰੋਟੋਕੋਲ ਵਿੱਚ ਇੱਕ ਬੱਗ ਦੇ ਕਾਰਨ ਨੈੱਟਵਰਕ ਈਵੇਸਡ੍ਰੌਪਰਾਂ ਨੂੰ ਨੈੱਟਵਰਕ ਟ੍ਰਾਂਸਮਿਸ਼ਨ ਨੂੰ ਡੀਕ੍ਰਿਪਟ ਕਰਨ ਅਤੇ ਵਿੰਡੋਜ਼ ‘ਤੇ ਟਾਈਪ ਕੀਤੇ ਟੈਕਸਟ ਨੂੰ ਐਕਸਟਰੈਕਟ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦਾ ਹੈ। iFlytek IME, ਜਿਸਦਾ ਐਂਡਰੌਇਡ ਐਪ ਨੈੱਟਵਰਕ ਈਵੇਸਡ੍ਰੌਪਰਸ ਨੂੰ ਨਾਕਾਫ਼ੀ ਐਨਕ੍ਰਿਪਟਡ ਨੈੱਟਵਰਕ ਟ੍ਰਾਂਸਮਿਸ਼ਨ ਦੇ ਪਲੇਨਟੈਕਸਟ ਨੂੰ ਮੁੜ ਪ੍ਰਾਪਤ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦਾ ਹੈ।

ਐਂਡਰੌਇਡ ‘ਤੇ ਸੈਮਸੰਗ ਕੀਬੋਰਡ, ਜੋ ਕਿ ਕੀਸਟ੍ਰੋਕ ਡੇਟਾ ਨੂੰ ਸਾਦੇ, ਗੈਰ-ਇਨਕ੍ਰਿਪਟਡ HTTP ਰਾਹੀਂ ਪ੍ਰਸਾਰਿਤ ਕਰਦਾ ਹੈ। Xiaomi, ਜੋ ਕਿ Baidu, iFlytek, ਅਤੇ Sogou ਤੋਂ ਕੀ-ਬੋਰਡ ਐਪਾਂ ਦੇ ਨਾਲ ਪਹਿਲਾਂ ਤੋਂ ਸਥਾਪਤ ਹੁੰਦੀ ਹੈ (ਅਤੇ ਇਸਲਈ ਉਪਰੋਕਤ ਉਪਰੋਕਤ ਖਾਮੀਆਂ ਲਈ ਕਮਜ਼ੋਰ ਹੈ)। OPPO, ਜੋ Baidu ਅਤੇ Sogou ਤੋਂ ਕੀ-ਬੋਰਡ ਐਪਾਂ ਦੇ ਨਾਲ ਪਹਿਲਾਂ ਤੋਂ ਸਥਾਪਿਤ ਹੁੰਦਾ ਹੈ (ਅਤੇ ਇਸਲਈ ਉਪਰੋਕਤ ਉਪਰੋਕਤ ਖਾਮੀਆਂ ਲਈ ਕਮਜ਼ੋਰ ਹੈ)।