Almost every Chinese keyboard app has a security flaw that reveals what users type

24.04.2024 19:32

Almost all keyboard apps used by Chinese people around the world share a security loophole that makes it possible to spy on what users are typing.

The vulnerability, which allows the keystroke data that these apps send to the cloud to be intercepted, has existed for years and could have been exploited by cybercriminals and state surveillance groups, according to researchers at the Citizen Lab, a technology and security research lab affiliated with the University of Toronto.

These apps help users type Chinese characters more efficiently and are ubiquitous on devices used by Chinese people. The four most popular apps—built by major internet companies like Baidu, Tencent, and iFlytek—basically account for all the typing methods that Chinese people use. Researchers also looked into the keyboard apps that come preinstalled on Android phones sold in China.

What they discovered was shocking. Almost every third-party app and every Android phone with preinstalled keyboards failed to protect users by properly encrypting the content they typed. A smartphone made by Huawei was the only device where no such security vulnerability was found.

In August 2023, the same researchers found that Sogou, one of the most popular keyboard apps, did not use Transport Layer Security (TLS) when transmitting keystroke data to its cloud server for better typing predictions. Without TLS, a widely adopted international cryptographic protocol that protects users from a known encryption loophole, keystrokes can be collected and then decrypted by third parties.

“Because we had so much luck looking at this one, we figured maybe this generalizes to the others, and they suffer from the same kinds of problems for the same reason that the one did,” says Jeffrey Knockel, a senior research associate at the Citizen Lab, “and as it turns out, we were unfortunately right.”

Even though Sogou fixed the issue after it was made public last year, some Sogou keyboards preinstalled on phones are not updated to the latest version, so they are still subject to eavesdropping.

This new finding shows that the vulnerability is far more widespread than previously believed.

“As someone who also has used these keyboards, this was absolutely horrifying,” says Mona Wang, a PhD student in computer science at Princeton University and a coauthor of the report.

“The scale of this was really shocking to us,” says Wang. “And also, these are completely different manufacturers making very similar mistakes independently of one another, which is just absolutely shocking as well.”

The massive scale of the problem is compounded by the fact that these vulnerabilities aren’t hard to exploit. “You don’t need huge supercomputers crunching numbers to crack this. You don’t need to collect terabytes of data to crack it,” says Knockel. “If you’re just a person who wants to target another person on your Wi-Fi, you could do that once you understand the vulnerability.”

The ease of exploiting the vulnerabilities and the huge payoff—knowing everything a person types, potentially including bank account passwords or confidential materials—suggest that it’s likely they have already been taken advantage of by hackers, the researchers say. But there’s no evidence of this, though state hackers working for Western governments targeted a similar loophole in a Chinese browser app in 2011.

Most of the loopholes found in this report are “so far behind modern best practices” that it’s very easy to decrypt what people are typing, says Jedidiah Crandall, an associate professor of security and cryptography at Arizona State University, who was consulted in the writing of this report. Because it doesn’t take much effort to decrypt the messages, this type of loophole can be a great target for large-scale surveillance of massive groups, he says.

After the researchers got in contact with companies that developed these keyboard apps, the majority of the loopholes were fixed. But a few companies have been unresponsive, and the vulnerability still exists in some apps and phones, including QQ Pinyin and Baidu, as well as in any keyboard app that hasn’t been updated to the latest version. Baidu, Tencent, iFlytek, and Samsung did not immediately reply to press inquiries sent by MIT Technology Review.

One potential cause of the loopholes’ ubiquity is that most of these keyboard apps were developed in the 2000s, before the TLS protocol was commonly adopted in software development. Even though the apps have been through numerous rounds of updates since then, inertia could have prevented developers from adopting a safer alternative.

The report points out that language barriers and different tech ecosystems prevent English- and Chinese-speaking security researchers from sharing information that could fix issues like this more quickly. For example, because Google’s Play store is blocked in China, most Chinese apps are not available in Google Play, where Western researchers often go for apps to analyze.

Sometimes all it takes is a little additional effort. After two emails about the issue to iFlytek were met with silence, the Citizen Lab researchers changed the email title to Chinese and added a one-line summary in Chinese to the English text. Just three days later, they received an email from iFlytek, saying that the problem had been resolved.

Партнёры Smi24.net

Все новости за 24 часа

Life24.pro

Пятна и сетки. Врач Колсанова рассказала, как бороться с проблемами кожи

Клинический психолог Юлия Тарибо: психологические последствия удаленной работы и способы их преодоления

Уровень медицины в Некрасовке растет

Новый стандарт прочности: Т-профиль 2 мм от российского производителя

Today24.pro

Palestinian envoy urges action at UN: “History will judge us all”

Exclusive: Fintech giant Stripe building ‘Tempo’ blockchain with crypto VC Paradigm

Report: Liverpool decision hands advantage to Man United in midfielder pursuit

3 Terrifying Horror Series To Watch Ahead Of HBO’s ‘It: Welcome to Derry’

News24.pro

DCLogic и HIDEN создают альянс для защиты ИТ-инфраструктуры от сбоев в электропитании

Грачья Погосян: достойный пример гуманизма и патриотизма (к 55-летию известного благотворителя)

Стражи курортов

"Главный азербайджанец Урала" сдал Алиева. Этот раунд Баку проиграл. Что будет дальше?

Game24.pro

Steam for Chromebooks is getting axed in 2026 instead of exiting its 4-year beta

The US Air Force wants to test blowing up Cybertrucks because 'it is likely the type of vehicles used by the enemy may transition to Tesla Cyber trucks'

Modders are trying their hardest to add an NVMe SSD to the Switch 2, which is both impressive and something I'm not going to do

New study shows that Gen Z is spending way less money on videogames than older gamers

Ua24.pro

Овочі можусть стати розкішшю для українців

Russia24.pro

Платформа «DатаРу Облако» аттестована для работы с государственными данными и информацией повышенной категории

Директор Росгвардии Герой России генерал армии Виктор Золотов принял участие в заседании Национального антитеррористического комитета

Nexign Interconnect получила сертификат совместимости с российской Java-платформой Axiom JDK

Клинический психолог Юлия Тарибо: психологические последствия удаленной работы и способы их преодоления

News-life

Грачья Погосян: достойный пример гуманизма и патриотизма (к 55-летию известного благотворителя)

Девять клипов подряд: группа REFLEX планирует установить мировой рекорд

КГ PROGRESS: в Перми работают самые опытные стоматологи в России

Баста и его супруга задолжали за коммунальные услуги

Ru24.net

В Тимирязевском районе Москвы появится новый дом по программе реновации

Ветераны Росгвардии обсудили актуальные вопросы поддержки участников специальной военной операции

Появились подробности о пожаре в подмосковном городе

Министр иностранных дел Ирана квалифицировал санкции США как преступные действия

News.tennis

Андрей Рублёв обыграл Лёнера Тьена на старте «Мастерса» в Цинциннати

Синнер пробился в четвертый раунд турнира "Мастерс" в Цинциннати

Павлюченкова уступила во втором круге турнира WTA 1000 в Цинциннати

Кудерметова победила Ламенс и прошла во второй круг турнира WTA 1000 в США

29ru.net

Обеспечение продвижения на Красноармейском направлении с помощью расчетов беспилотных летательных аппаратов

Выбор подходящей франшизы автозапчастей

Дорога на улице Трифоновской будет перекрыта до 22 августа

Обломают зубы и сдохнут! «Ударим сразу вглубь Польши»: после атаки на Калининград НАТО уже не будет, даже «Орешник» не понадобится

Музыкальные новости

Poisk-music.ru

Балерина Волочкова раскритиковала идею запрета мата в интернете

Рок-фестиваль «Окна Открой» в Петербурге: возвращение звезд и открытие новых талантов

Тайная дочь Фредди Меркьюри впервые заговорила об отце

Концерт к 100-летию со дня кончины святителя Тихона дадут в Псковском кремле

Ria.city

Платформа «DатаРу Облако» аттестована для работы с государственными данными и информацией повышенной категории

Директор Росгвардии Герой России генерал армии Виктор Золотов принял участие в заседании Национального антитеррористического комитета

Nexign Interconnect получила сертификат совместимости с российской Java-платформой Axiom JDK

Клинический психолог Юлия Тарибо: психологические последствия удаленной работы и способы их преодоления

Rss.plus

Не лечит, но помогает: уже сегодня ТНТ покажет премьеру комедийного сериала «Знахарь» с Денисом Васильевым и Катериной Ковальчук

Рок-фестиваль «Окна Открой» в Петербурге: возвращение звезд и открытие новых талантов

В Москве завершается основной этап благоустройства набережной у метро «Спартак»

В регионах центральной России росгвардейцы отметили День физкультурника

Auto.russia24.pro

Быстрый старт в прибыльном бизнесе по продаже автозапчастей

Baza: Мотоциклист попал в ДТП в Москве из-за нарушившего ПДД водителя

В Сети появились кадры ДТП с подростками на самокате, которые врезались в столб

Преимущества франшизы «Автополка»

Putin.russia24.pro

В России объяснили скорую организацию встречи Путина и Трампа

Bloomberg: встреча Путина и Трампа сама по себе представляет победу Москвы

Почему Трамп сказал, что едет в Россию, если встреча назначена в Аляске

Почему Трамп захотел быстро встретиться с Путиным, объяснил Хазин

Health.russia24.pro

Здоровье Бориса Щербакова: обновленные сведения от научно-исследовательского центра имени Склифосовского

Главный врач клиники микрохирургии глаза АйМед Элина Санторо: что делать если лопнул сосуд в глазу

Подмосковный травматолог дал советы по выбору рюкзака для первоклассника

КГ PROGRESS: в Перми работают самые опытные стоматологи в России

Zelensky.russia24.pro

«Будет обмен землей»: Трамп поставил Зеленского на место, вызвав панику в Киеве

Политолог: Алиев пересек красную линию и столкнется с ответом Москвы

Sport.russia24.pro

В День физкультурника героем рубрики «Знай наших» стал военнослужащий Главного управления Росгвардии по г. Москве Кирилл М.

На пенсии отоспишься. 13 идей для ночного досуга в Москве — от тенниса до парилки

«Лето в Москве» в Южном округе объединит спорт, искусство и технологии в ближайшие выходные

Соревнования по многоборью кинологов-росгвардейцев завершились в Грозном

Lukashenko.russia24.pro

Лукашенко получил первую золотую монету из белорусского сырья

Person.russian.city

Собянин объявил об открытии новой детской поликлиники в районе Крюково

Собянин оценил вклад проектов "Город героев" и "Герой моего района

Сергей Собянин. Главное за день

Собянин рассказал, как проект «Город героев» укрепляет связь времен и поколений

Ecology.russia24.pro

Орловская область планирует войти в число национальных туристических маршрутов с проектом «Бирюзовое кольцо России»

Хватит морщиться: ученые назвали пользу от участившихся московских ливней

Что подготовили в павильонах «Музеона» в рамках форума «Москва 2030»

В Крыму потушили угрожавший двум селам природный пожар

29ru.net

Продажи новостроек в некоторых регионах России упали вдвое

Лидер СЛОТ Игорь Кэш: мы всё еще надеемся на какое-то развитие

Выбор подходящей франшизы автозапчастей

Обеспечение продвижения на Красноармейском направлении с помощью расчетов беспилотных летательных аппаратов

Severodvinsk.ws

Пинежский заповедник в Архангельской области получит финансирование на создание новой инфраструктуры для научных и исследовательских работ

Здание морского речного вокзала в Архангельске будет обновлено к концу 2026 года

Заместитель прокурора Архангельской области и Ненецкого автономного округа Павел Матанцев проверил ход ремонтных работ в школе № 1 г. Нарьян-Мара

Сотрудниками полиции и Росгвардии задержан гражданин, причастный к поджогу релейного шкафа в Архангельской области

Sevpoisk.ru

Прогноз погоды в Крыму на 11 августа

Историко-краеведческая выставка «Древности земли крымской»

Прогноз погоды в Крыму на 12 августа

Прогноз погоды в Крыму на 10 августа

103news.com

Лидер СЛОТ Игорь Кэш: мы всё еще надеемся на какое-то развитие

Быстрый старт в прибыльном бизнесе по продаже автозапчастей

Астрологи рассказали, как правильно загадывать желание, чтобы оно сбылось

Выбор подходящей франшизы автозапчастей

Агрегатор новостей 24СМИ