Chinesische Tastatur-Apps haben Schwachstelle und verraten, was Nutzer tippen
Forscher der Universität Toronto haben eine Verschlüsselungslücke in Tastatur-Apps gefunden, die Nutzer anfällig für Lauschangriffe macht.
Sicherheitslücken in Tastatur-Apps machen Eingaben für Abhörer zugänglich.
(Bild: Bits And Splits/Shutterstock.com)
Tastatur-Apps zur effizienteren Eingabe chinesischer Schriftzeichen werden weltweit von Chinesen genutzt und sind auf chinesischen Geräten allgegenwärtig. Fast alle dieser Apps weisen jedoch eine Sicherheitslücke auf, die es ermöglicht, die Nutzerinnen und Nutzer bei der Eingabe auszuspionieren. So werden die Tastendruckdaten, die diese Apps an die Cloud senden, abgefangen.
Lücke für Hacker und Geheimdienste
Forscher des Citizen Lab, einem mit der University of Toronto verbundenen Technologie- und Sicherheitsforschungslabor, haben herausgefunden, dass die Sicherheitslücke bereits seit Jahren besteht und von Cyberkriminellen und staatlichen Überwachungsorganen ausgenutzt worden sein könnte. Die vier beliebtesten Tastatur-Apps werden von großen chinesischen Unternehmen wie Baidu, Tencent und iFlytek entwickelt und decken so gut wie alle Tippweisen der Chinesen ab.
Die Forscher untersuchten auch die Tastatur-Apps, die auf in China verkauften Android-Handys vorinstalliert sind: Fast alle Apps von Drittanbietern und alle Android-Handys mit vorinstallierter Tastatur versäumten es, die Nutzer durch eine ordnungsgemäße Verschlüsselung der eingegebenen Inhalte zu schützen. Lediglich bei einem Smartphone des Herstellers Huawei konnten sie keine derartige Sicherheitslücke feststellen.
Fehlendes TLS-Protokoll
Bereits im August 2023 stellten die Forscher des Citizen Lab fest, dass die beliebte Tastatur-App Sogou bei der Übertragung von Tastenanschlagsdaten an ihren Cloud-Server für bessere Tippvorhersagen keine Transport Layer Security (TLS) nutzte. TLS ist der weltweit meistgenutzte Verschlüsselungsstandard und schützt 90 Prozent aller Web-Verbindungen vor Lauschern. Ohne TLS können Tastatureingaben jedoch von Dritten mitgeschnitten werden. Obwohl Sogou das Problem nach Bekanntwerden im letzten Jahr behoben hat, sind viele vorinstallierte Sogou-Tastaturen nicht auf dem neuesten Stand und können weiterhin abgehört werden. Die meisten Sicherheitslücken wurden geschlossen, nachdem die Forscher die Hersteller der Tastatur-Apps kontaktiert hatten. Einige Firmen wie QQ Pinyin und Baidu reagierten jedoch nicht, so dass die Sicherheitslücke in manchen Apps und Telefonen sowie in allen Tastatur-Apps, die nicht auf die neueste Version aktualisiert wurden, weiterhin besteht.
Lesen Sie auch
Sicherheitsupdates: Angreifer können GitLab-Accounts übernehmen
Zugriffsmanagement: Kritische Admin-Lücke in Delinea Secret Server geschlossen
FAQ: Wie geht es jetzt mit Tiktok weiter?
Nun ist Biden am Zug: Große Mehrheit im US-Senat für Zwangsverkauf von TikTok
Trend Micro Antivirus One: Codeschmuggel im macOS-Scanner möglich
(vat)