カナダのトロント大学の CitizenLab の研究者は、 Baidu、Honor、Huawei、iFlytek、OPPO、Vivo、Samsung、Tencent、Xiaomi のユーザー入力コンテンツを保護するために暗号化方式を一切使用していないメーカーもあります。
▲ Android および iOS 上の Baidu IME で使用される BCTR モード暗号化スキームの概略図
研究者は影響を受けた 9 人の開発者に脆弱性報告書を提出しました。ほとんどの開発者は問題を真剣に受け止め、脆弱性にパッチを当てましたが、まだ脆弱性にパッチを当てていない入力メソッドがいくつかあります。
テストされた9つのメーカーのアプリケーションの中で、ユーザー入力コンテンツのクラウドへのアップロードに関連するセキュリティ上の問題が見つからなかったのはファーウェイの製品だけでした。他の各メーカーには脆弱性が含まれているアプリケーションが少なくとも1つあり、受動的なネットワーク攻撃者が完全なコンテンツを監視することができました。ユーザー入力の。
参考リンク
https://citizenlab.ca/wp-content/uploads/2024/04/CitizenLabReport175-keyboardvuln.pdf