إشراك 1 مليار مستخدم! قطب التعدين البارز شين يو: Tencent وBaidu وXiaomi وغيرها من برامج طرق الإدخال الثمانية بها ثغرات خطيرة

أصدر شين يو، المؤسس المشارك لمجموعة تعدين العملات المشفرة المعروفة F2Pool، تحذيرًا على تويتر يوم الاثنين (29 أبريل)، يشير إلى أن طرق الإدخال المستندة إلى السحابة والتي يستخدمها ما يصل إلى مليار مستخدم ربما تكون قد تسربت بيانات الإدخال. وشدد على وجود نقاط ضعف خطيرة في ثمانية برامج لطرق الإدخال الصينية، مما يستلزم توخي الحذر لمنع تسرب المفاتيح الخاصة لمحفظة العملات المشفرة.

وأشار شين يو إلى أن برنامج أسلوب الإدخال Pinyin القائم على السحابة، والذي يستخدمه أكثر من مليار مستخدم، ربما يكون قد تسرب محتوى الإدخال. إذا قام المستخدمون بإدخال عبارات تذكيرية للمحفظة أو غيرها من المعلومات الحساسة باستخدام طرق الإدخال الموضحة أدناه، فقد حث على اتخاذ التدابير المناسبة للحد من مخاطر اقتحامات القراصنة.

ووفقا لتغريدات شين يو نقلا عن The Citizen Lab، فقد تم تحليل تسع شركات تقدم البرمجيات، بما في ذلك Baidu وHonor وHuawei وiFlytek وOPPO وSamsung وTencent وVIVO وXiaomi. ثمانية من هذه الشركات' يحتوي برنامج طريقة الإدخال على ثغرات أمنية خطيرة، ولم يتم إنقاذ سوى شركة Huawei.

من خلال الجمع بين الدراسات السابقة، بما في ذلك نقاط الضعف الموجودة في طريقة إدخال Sogou، تشير التقديرات إلى أن ما لا يقل عن مليار مستخدم قد تأثروا. وتشمل الأسباب إمكانية جمع بيانات مدخلات المستخدم على نطاق واسع.

أثار Citizen Lab مخاوف من أن تؤثر الثغرات الأمنية على قاعدة واسعة من المستخدمين؛ المعلومات المكتوبة على لوحات المفاتيح حساسة للغاية؛ ولا يتطلب اكتشاف نقاط الضعف هذه مهارات تقنية متقدمة؛ وفي الماضي، استغل تحالف العيون الخمس نقاط ضعف مماثلة في التطبيقات الصينية لأغراض المراقبة.

يتكون تحالف العيون الخمس من أستراليا وكندا ونيوزيلندا والمملكة المتحدة والولايات المتحدة، ويشكل مجموعة دولية لتبادل المعلومات الاستخبارية بموجب اتفاقية المملكة المتحدة والولايات المتحدة.

وفي الاختبارات التي أجريت على تطبيقات من تسعة موفري برامج، تم العثور على منتج هواوي فقط بدون مشكلات أمنية تتعلق بتحميل محتوى إدخال المستخدم إلى السحابة. يحتوي كل تطبيق من التطبيقات البرمجية الأخرى على ثغرة أمنية واحدة على الأقل، مما يسمح لمهاجمي الشبكة السلبيين بمراقبة المحتوى الكامل لمدخلات المستخدم.

وعلى العكس من ذلك، لم يُظهر نظام iOS الخاص بشركة Apple أي ثغرة في الاختبارات.

تتطلب هجمات التنصت النشطة على الشبكة إرسال إشارات، مثل تغيير كمية صغيرة من البيانات أثناء إرسال الرسائل، لفك تشفير المحتوى المشفر، كما أن اكتشافها أسهل نسبيًا.

لا تحتاج هجمات التنصت السلبية على الشبكة إلى إرسال أي إشارات ويمكنها فك تشفير البيانات ببساطة عن طريق قراءتها أثناء الإرسال، مما يجعل اكتشافها أكثر صعوبة.

وبعد الكشف عن نقاط الضعف، قام Citizen Lab بإرسال المعلومات إلى شركات البرمجيات. ومع ذلك، فمن المفهوم أن بعض الشركات قامت بإصلاح بعض نقاط الضعف الأكثر خطورة، في حين لم تقم شركات أخرى بإجراء أي إصلاحات.

ولرفع مستوى الوعي الأمني، نصح Citizen Lab مستخدمي طرق الإدخال Sogou وQQ وBaidu وiFlytek، سواء تم تثبيتها يدويًا من متاجر التطبيقات أو المثبتة مسبقًا على أنظمة التشغيل، لضمان تحديث أساليب الإدخال وأنظمة التشغيل الخاصة بهم.

وأشارت المنظمة أيضًا إلى أنه يجب على المستخدمين المهتمين بالخصوصية تعطيل أي ميزات سحابية في طرق الإدخال الخاصة بهم، ويجب على مستخدمي Apple iOS المهتمين بالخصوصية عدم تمكين "الوصول الكامل" في طرق الإدخال.