Thu hút 1 tỷ người dùng! Ông trùm khai thác nổi tiếng Shen Yu: Tencent, Baidu, Xiaomi và 8 phần mềm phương thức nhập liệu khác có lỗ hổng nghiêm trọng

Shen Yu, người đồng sáng lập nhóm khai thác tiền điện tử nổi tiếng F2Pool, đã đưa ra cảnh báo trên Twitter vào thứ Hai (29 tháng 4), cho thấy rằng các phương thức nhập liệu dựa trên đám mây được tới một tỷ người dùng sử dụng có thể đã bị rò rỉ dữ liệu đầu vào. Ông nhấn mạnh rằng các lỗ hổng nghiêm trọng tồn tại trong tám phần mềm phương thức nhập liệu của Trung Quốc, đòi hỏi phải thận trọng để ngăn chặn rò rỉ khóa riêng của ví tiền điện tử.

Shen Yu lưu ý rằng phần mềm phương thức nhập Bính âm dựa trên đám mây, được hơn một tỷ người dùng sử dụng, có thể đã bị rò rỉ nội dung đầu vào. Nếu người dùng đã nhập các cụm từ ghi nhớ ví hoặc thông tin nhạy cảm khác bằng các phương thức nhập được thảo luận bên dưới, ông kêu gọi thực hiện các biện pháp thích hợp để giảm nguy cơ bị hacker xâm nhập.

Theo các dòng tweet của Shen Yu, trích dẫn The Citizen Lab, chín công ty cung cấp phần mềm đã được phân tích, bao gồm Baidu, Honor, Huawei, iFlytek, OPPO, Samsung, Tencent, VIVO và Xiaomi. Tám trong số các công ty này Phần mềm phương thức nhập liệu chứa các lỗ hổng nghiêm trọng, chỉ có Huawei là được miễn trừ.

Kết hợp các nghiên cứu trước đây, bao gồm cả các lỗ hổng được tìm thấy trong phương thức nhập liệu của Sogou, ước tính có ít nhất một tỷ người dùng bị ảnh hưởng. Những lý do bao gồm khả năng thu thập dữ liệu đầu vào của người dùng trên quy mô lớn.

Citizen Lab đưa ra lo ngại rằng các lỗ hổng ảnh hưởng đến cơ sở người dùng rộng rãi; thông tin gõ trên bàn phím rất nhạy cảm; việc khám phá những lỗ hổng này không đòi hỏi kỹ năng kỹ thuật nâng cao; và trước đây, liên minh Five Eyes đã khai thác các lỗ hổng tương tự trong các ứng dụng của Trung Quốc cho mục đích giám sát.

Liên minh Five Eyes bao gồm Úc, Canada, New Zealand, Vương quốc Anh và Hoa Kỳ, tạo thành một nhóm chia sẻ thông tin tình báo quốc tế theo Thỏa thuận UKUSA.

Trong các thử nghiệm được thực hiện trên các ứng dụng của chín nhà cung cấp phần mềm, chỉ có sản phẩm của Huawei là không gặp vấn đề bảo mật liên quan đến việc tải nội dung do người dùng nhập lên đám mây. Mỗi ứng dụng phần mềm khác đều chứa ít nhất một lỗ hổng, cho phép kẻ tấn công mạng thụ động giám sát toàn bộ nội dung đầu vào của người dùng.

Ngược lại, hệ thống iOS của Apple không cho thấy bất kỳ lỗ hổng nào trong các thử nghiệm.

Các cuộc tấn công nghe lén mạng đang hoạt động yêu cầu gửi tín hiệu, chẳng hạn như thay đổi một lượng nhỏ dữ liệu trong quá trình truyền tin nhắn, để giải mã nội dung được mã hóa và tương đối dễ phát hiện hơn.

Các cuộc tấn công nghe lén mạng thụ động không cần phát ra bất kỳ tín hiệu nào và có thể giải mã dữ liệu chỉ bằng cách đọc dữ liệu trong quá trình truyền, khiến chúng khó bị phát hiện hơn.

Sau khi phát hiện lỗ hổng, The Citizen Lab đã gửi thông tin cho các công ty phần mềm. Tuy nhiên, người ta hiểu rằng một số công ty đã vá một số lỗ hổng nghiêm trọng hơn, trong khi những công ty khác chưa thực hiện bất kỳ sửa chữa nào.

Để nâng cao nhận thức về bảo mật, Citizen Lab đã khuyên người dùng các phương thức nhập Sogou, QQ, Baidu và iFlytek, dù được cài đặt thủ công từ cửa hàng ứng dụng hay được cài đặt sẵn trên hệ điều hành, để đảm bảo phương thức nhập và hệ điều hành của họ luôn được cập nhật.

Tổ chức này cũng lưu ý rằng người dùng quan tâm đến quyền riêng tư nên tắt mọi tính năng đám mây trong phương thức nhập liệu của họ và người dùng Apple iOS quan tâm đến quyền riêng tư không nên bật “Quyền truy cập đầy đủ” trong phương thức nhập liệu.