Según un nuevo informe, mil millones de usuarios de teléfonos inteligentes han utilizado teclados digitales en idioma chino que son vulnerables al espionaje y las escuchas ilegales. Las amenazas generalizadas que revelan estos sistemas con fugas también podrían presentar un nuevo y preocupante tipo de exploit para ataques cibernéticos, ya sea que el dispositivo utilice un teclado en chino, un teclado en inglés o cualquier otro. El año pasado, el Citizen Lab de la Universidad de Toronto publicó un estudio sobre un sistema de teclado chino patentado por el gigante tecnológico Tencent, con sede en Shenzhen. El informe «Sogou Keyboard» de Citizen Lab expuso la amplia gama de ataques posibles al teclado, que podrían filtrar las pulsaciones de teclas de un usuario a espías externos. Ahora, en el nuevo estudio del grupo, publicado la semana pasada, los mismos investigadores han descubierto que esencialmente todos los teclados de teléfonos inteligentes chinos más populares del mundo han sufrido vulnerabilidades similares. “Cualquier cosa que los usuarios de idioma chino de su aplicación hayan escrito en ella ha estado expuesta durante años .” —Jedidiah Crandall, Universidad Estatal de ArizonaY si bien los errores específicos que los dos informes han descubierto se han solucionado en la mayoría de los casos, los hallazgos de los investigadores (y en particular, sus recomendaciones) apuntan a brechas sustancialmente mayores en los sistemas que se extienden al software desarrollado alrededor del mundo. mundo, sin importar el idioma. “Todos estos teclados también utilizaban protocolos de red personalizados”, dice Mona Wang, Ph.D. en ciencias de la computación. estudiante de la Universidad de Princeton y coautor del informe. «Debido a que había estudiado este tipo de protocolos de red personalizados antes, esto inmediatamente me gritó que algo realmente terrible estaba sucediendo». Jedidiah Crandall, profesora asociada de informática e inteligencia aumentada en la Universidad Estatal de Arizona en Tempe, a quien se consultó durante la preparación del informe pero que no formaba parte del equipo de investigación, dice que estas vulnerabilidades son importantes para casi cualquier codificador o equipo de desarrollo que entregue su trabajo al mundo. «Si usted es desarrollador de una aplicación de chat centrada en la privacidad o una aplicación para rastrear algo relacionado con la salud, cualquier cosa que los usuarios de idioma chino hayan escrito en su aplicación ha estado expuesta durante años», dice. El problema del teclado chinoChino, un Un lenguaje de decenas de miles de caracteres, con unos 4.000 o más de uso común, representa un claro desafío para la entrada por teclado. En la era digital se ha desarrollado una variedad de sistemas de teclado diferentes, a veces llamados teclados pinyin, que llevan el nombre de un popular sistema de romanización del chino estándar. Idealmente, estos enfoques creativos de la entrada digital permiten fonetizar y transliterar directamente un lenguaje profundamente complejo a través de un formato de teclado compacto, a menudo de estilo QWERTY. «Incluso las personas competentes y con buenos recursos se equivocan con el cifrado, porque es muy difícil hacerlo correctamente». —Mona Wang, Universidad de Princeton La inteligencia computacional y de inteligencia artificial puede ayudar a transformar las pulsaciones de teclas en caracteres chinos en la pantalla. Pero los teclados chinos a menudo implican muchos intercambios a través de Internet entre servidores en la nube y otras aplicaciones de asistencia en red, solo para que una persona de habla china pueda escribir los caracteres. Según el informe y las preguntas frecuentes que los investigadores publicaron explicando Los puntos técnicos en un lenguaje sencillo: los teclados chinos estudiaron todas las funciones de predicción de caracteres utilizadas, que a su vez dependían de recursos de computación en la nube. Los investigadores descubrieron que las comunicaciones mal protegidas entre la aplicación de teclado de un dispositivo y esos servidores externos en la nube significaban que se podía acceder a las pulsaciones de teclas de los usuarios (y por lo tanto a sus mensajes) en tránsito. Jeffrey Knockel, investigador asociado senior de Citizen Lab y coautor del informe, dice La predicción de caracteres basada en la nube es una característica particularmente atractiva para los teclados en idioma chino, dada la amplia gama de caracteres posibles que cualquier secuencia de pulsaciones de teclas QWERTY podría intentar representar. «Si estás escribiendo en inglés o en cualquier idioma donde haya suficientes teclas en un teclado para todas tus letras, ya es una tarea mucho más sencilla de diseñar un teclado que un lenguaje ideográfico donde podrías tener más de 10.000 caracteres», dice. Los teclados en idioma chino suelen ser “teclados pinyin”, que permiten escribir miles de caracteres utilizando un enfoque de estilo QWERTY. Zamoeux/Wikimedia Sarah Scheffler, asociada postdoctoral en el MIT, expresó su preocupación también por otros tipos de vulnerabilidades de datos que el Citizen El informe de laboratorio lo revela, más allá de los teclados y las aplicaciones específicas en idioma chino necesariamente. “Las vulnerabilidades [identified by the report] «No son en absoluto específicos de los teclados pinyin», afirma. “Se aplica a cualquier aplicación que envíe datos a través de Internet. Cualquier aplicación que envíe información no cifrada (o mal cifrada) tendría problemas similares”. Wang dice que el principal problema que descubrieron los investigadores tiene que ver con el hecho de que muchos protocolos de teclado chinos transmiten datos utilizando un cifrado inferior y, a veces, personalizado. «Estos protocolos de cifrado probablemente hayan sido desarrollados por personas muy, muy competentes y con muchos recursos», afirma Wang. «Pero incluso las personas competentes y con buenos recursos se equivocan con el cifrado, porque es muy difícil hacerlo correctamente». Más allá de las vulnerabilidades expuestas, Scheffler señala las pruebas, iteraciones y desarrollo que han durado dos décadas del sistema de seguridad de la capa de transporte (TLS) que subyace a gran parte de las comunicaciones seguras de Internet, incluidos los sitios web que utilizan el protocolo HTTPS (Protocolo seguro de transferencia de hipertexto). (La primera versión de TLS se especificó y lanzó en 1999.) “Todas estas empresas chinas de Internet que están lanzando sus propios [cryptography] o que utilizan sus propios algoritmos de cifrado se están perdiendo todos esos 20 años de desarrollo del cifrado estándar”, afirma Wang. Crandall dice que es posible que el informe también haya resaltado inadvertidamente suposiciones sobre protocolos de seguridad que no siempre se aplican en todos los rincones del mundo. «Protocolos como TLS a veces hacen suposiciones que no se adaptan a las necesidades de los desarrolladores en determinadas partes del mundo», afirma. Por ejemplo, añade, los sistemas de seguridad personalizados que no son TLS pueden ser más atractivos «donde el retraso de la red es alto o donde las personas pueden pasar grandes cantidades de tiempo en áreas donde la red no es accesible». El problema del teclado de idioma podría incluso representar una especie de canario en la mina de carbón para una variedad de sistemas de computadora, teléfonos inteligentes y software. Debido a su dependencia de amplias comunicaciones por Internet, estos sistemas, aunque quizás los desarrolladores los pasen por alto o los releguen a un segundo plano, también representan posibles superficies de ataque a la ciberseguridad. “Anecdóticamente, muchas de estas fallas de seguridad surgen de grupos que no creen que puedan hacerlo. «Estoy haciendo algo que requiere seguridad o no tengo mucha experiencia en seguridad», dice Scheffler. Scheffler identifica «teclados de texto predictivo basados ​​en Internet en cualquier idioma, y ​​tal vez algunas de las funciones de IA basadas en Internet que se han introducido en las aplicaciones a lo largo del tiempo». años” como posibles lugares que ocultan vulnerabilidades de ciberseguridad similares a las que el equipo de Citizen Lab descubrió en los teclados en idioma chino. Esta categoría podría incluir reconocimiento de voz, voz a texto, texto a voz y herramientas de inteligencia artificial generativa, agrega. «La seguridad y la privacidad no son lo primero que piensan muchas personas cuando crean su interesante aplicación de edición de imágenes», dice Scheffler. «Tal vez no debería ser el primer pensamiento, pero definitivamente debería serlo cuando la aplicación llegue a los usuarios». Esta historia se actualizó el 29 de abril de 2024. De los artículos de su sitio Artículos relacionados en la Web