Les bugs permettent à des acteurs malveillants de pirater les appareils et les comptes d'utilisateurs en interceptant les données saisies par les utilisateurs. Crédit d’image : Pexels
Une enquête récente menée par Citizen Lab a révélé d'importantes vulnérabilités de sécurité dans les applications de clavier chinois les plus populaires, affectant potentiellement des milliards d'utilisateurs. Les bogues, identifiés dans les applications de clavier pinyin basées sur le cloud, permettent à des acteurs malveillants de pirater des appareils et des comptes d'utilisateurs, en interceptant les données utilisateur transmises entre les appareils et le cloud.
L'étude s'est concentrée sur l'analyse des applications préinstallées de principaux fournisseurs, notamment Baidu, Honor, Huawei, iFlyTek, OPPO, Samsung, Tencent, Vivo et Xiaomi. Il est choquant de constater que huit fournisseurs sur neuf présentaient des vulnérabilités critiques, laissant les données des utilisateurs exposées à l'interception par des oreilles indiscrètes passives du réseau.
Seul Huawei est sorti indemne de l’audit de sécurité réalisé par Citizen Lab.
Les implications de ces études sont profondes : des bugs comme ceux-ci auraient pu affecter des centaines de millions d'utilisateurs, en particulier compte tenu de l'adoption généralisée des smartphones Honor, OPPO et Xiaomi en Chine et dans ses voisins.
La nature de ces bugs permettait aux attaquants d'intercepter les frappes des utilisateurs lorsqu'ils étaient en transit. Cela a à son tour compromis des informations sensibles, allant des messages texte aux détails financiers.
Le nœud du problème réside dans la manière dont les données de frappe sont transmises sur Internet. Contrairement à l’alphabet latin, les claviers pinyin utilisés par la majorité des utilisateurs de Chine continentale envoient des données à des serveurs distants pour des fonctions de texte prédictive. Cette dépendance à l'égard de fonctionnalités basées sur le cloud rend les applications vulnérables à la surveillance, fonctionnant efficacement comme des enregistreurs de frappe.
Bien que Citizen Lab ait rapidement informé tous les fournisseurs concernés des vulnérabilités, seul Honor n'a pas réussi à résoudre les problèmes dans le délai imparti.
La plupart des fournisseurs de services ont depuis corrigé les bogues, incitant les chercheurs à conseiller aux utilisateurs de mettre à jour leurs applications et leurs systèmes d'exploitation pour une sécurité renforcée.
De plus, pour atténuer les risques futurs pour la vie privée et les données sensibles, les utilisateurs sont invités à abandonner les applications de clavier basées sur le cloud pour celles fonctionnant entièrement sur l'appareil.
Ces révélations soulignent l’importance cruciale de mesures de sécurité robustes dans les applications mobiles, en particulier pour les applications de clavier largement utilisées qui traitent de grandes quantités de données personnelles.
À mesure que les cybermenaces continuent d’évoluer, des mesures proactives doivent être prises pour protéger la vie privée des utilisateurs et les protéger contre une exploitation potentielle par des acteurs malveillants.
(Avec la contribution des agences)
Retrouvez-nous sur YouTube
->Google Actualités
