Um aplicativo chinês de entrada de idioma muito utilizado para Windows e Android foi encontrado vulnerável a graves falhas de segurança que poderiam permitir que um invasor mal-intencionado decifrasse o texto digitado pelos usuários.
Os resultados são da Universidade de Toronto's Citizen Lab, que realizou uma análise do mecanismo de criptografia usado no Sogou Input Method da Tencent, um aplicativo que possui mais de 455 milhões de usuários ativos mensais no Windows, Android e iOS.
As vulnerabilidades estão presentes no EncryptWall, sistema de criptografia personalizado do serviço, permitindo que bisbilhoteiros da rede extraiam o conteúdo do texto e acessem dados sensíveis.
"As versões para Windows e Android do Sogou Input Method contêm vulnerabilidades neste sistema de criptografia, incluindo uma vulnerabilidade a um ataque CBC padding oracle, que permite que bisbilhoteiros da rede recuperem o texto simples de transmissões de rede criptografadas, revelando informações sensíveis, incluindo o que os usuários digitaram", disseram os pesquisadores.
CBC, abreviação para cipher block chaining, é um modo de operação criptográfica em que cada bloco de texto simples é XORed com o bloco de texto cifrado anterior antes de ser criptografado.
Dado que uma cifra de bloco funciona em blocos de texto simples de tamanho fixo, um ataque de oracle de padding poderia ser usado para vazar dados sobre se o texto cifrado recebido, quando decifrado, tem um padding válido.
Fazendo isso, um agente de ameaça poderia decifrar uma mensagem sem realmente saber a chave de criptografia.
Interessantemente, a versão iOS do Sogou Input Method foi considerada segura contra bisbilhotagem da rede, embora teria sido a mais vulnerável, devido a um segundo defeito na implementação do EncryptWall, onde a primeira metade da chave de criptografia poderia ser facilmente recuperada.
É importante notar que o alcance dos problemas não se limita a escritores chineses na China.
Estatísticas do SimilarWeb mostram que as visitas ao site do aplicativo também vêm dos EUA, Taiwan, Hong Kong e Japão.
Após uma divulgação responsável em maio e junho de 2023, o problema foi resolvido pela Tencent na versão 13.7 (Windows), 11.26 (Android) e 11.25 (iOS) no final do mês passado.
"Essa vulnerabilidade poderia ter sido facilmente evitada usando, em vez de criptografia 'homebrew', o TLS, um protocolo criptográfico comum e maduro com disponibilidade ubíqua e suporte atualizado", disseram os pesquisadores Jeffrey Knockel, Zoë Reichert e Mona Wang.
"Embora nenhum protocolo criptográfico seja perfeito, as implementações do TLS já haviam atenuado a vulnerabilidade aos ataques de oracle de preenchimento CBC em 2003."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...