Uma vulnerabilidade crítica no teclado para Android mais popular da China permitia a possível obtenção dos dados digitados por 450 milhões de usuários.
A falha achava-se no Sogou Input Method, publicado pela grande empresa Tencent e utilizado por cerca de 70% dos usuários de smartphones com o sistema operacional no país.
O erro no Sogou Input Method tornava-se evidente quando as informações digitadas eram enviadas aos servidores da empresa, uma dinâmica insegura por si só, por violar a privacidade dos usuários.
Tal compartilhamento obrigatório de informações ocorria através de um sistema de criptografia chamado EncryptWall, desenvolvido pela própria Tencent, e que podia ser manipulado para descobrir as informações trocadas entre o dispositivo dos usuários e a infraestrutura da desenvolvedora.
Segundo o Citizen Lab, laboratório de estudos em privacidade e segurança da Universidade de Toronto, no Canadá, explorações simples seriam suficientes para que os dados digitados fossem revelados.
Dessa maneira, credenciais de acesso, conversas pessoais e informações confidenciais poderiam ser facilmente descobertas por criminosos que aplicassem ataques do tipo "homem no meio", capturando os dados que eram enviados à Tencent.
Golpes deste tipo costumam ser utilizados em redes públicas, como as de hotéis, aeroportos e cafés, além de Wi-Fis empresariais, justamente em busca de informações sensíveis.
De acordo com os especialistas, a quebra na criptografia do Sogou Input Method era possível não somente na versão Android do teclado, mas também no Windows; vulnerabilidades também foram encontradas na versão iOS, porém não puderam ser exploradas pelos pesquisadores.
A vulnerabilidade foi notificada à Tencent em maio deste ano, tendo a falha corrigida ao final de julho.
A recomendação, portanto, é que os usuários do Sogou Input Method atualizem prontamente o aplicativo, com as versões 11.26 no Android, 13.7 no Windows e 11.25 no iOS não possuindo mais a abertura que permitia a interceptação dos dados.
Além disso, é claro, existe a questão do compartilhamento de informações dos usuários com a própria Tencent, que adquiriu a Sogou, empresa de tecnologia que controla o app, motores de busca e outras tecnologias, em 2021.
Este elemento faz parte dos termos de uso do software e pode violar totalmente a privacidade dos usuários, com a desenvolvedora tendo acesso a todos os dados digitados, incluindo conversas confidenciais, logins e senhas.
Enquanto esta é uma imposição do governo do país, o download do teclado está disponível para usuários de outros territórios, incluindo o Brasil.
Sua popularidade está associada à personalização de dicionários e facilidade na inserção de caracteres, incluindo o suporte a gestos e comandos de voz, tornando-o uma opção interessante para quem precisa se comunicar em chinês.
Em seu relatório, o Citizen Lab adverte aos usuários de todo o mundo sobre esse compartilhamento e deixa claro que eles devem estar cientes de que suas informações estão sendo repassadas para a desenvolvedora.
A recomendação de segurança, principalmente aos usuários internacionais, é que evitem utilizar o teclado para inserir senhas de acesso ou ter conversas confidenciais.
O mesmo também se aplica ao uso de redes públicas ou inseguras, citadas como elementos facilitadores na exploração da criptografia do teclado da Sogou.
Como medida de segurança básica, é importante evitar tais Wi-Fis, principalmente ao utilizar aplicativos sensíveis, como financeiros ou e-mails.
Prefira a rede celular para tais propósitos e, caso a conexão sem fio seja imprescindível, acione a VPN para adicionar uma camada extra de proteção aos dados.
Ao baixar aplicativos, ainda, preste atenção aos termos de uso e políticas de privacidade, de maneira a entender como os dados inseridos serão utilizados e compartilhados pelos desenvolvedores.
Evite links enviados por mensagem ou downloads diretos, preferindo lojas oficiais como a Google Play Store, prestando atenção também em comentários que possam identificar soluções perigosas.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...