캐나다 토론토 대학의 CitizenLab 연구원들은 Baidu, Honor, Huawei, iFlytek, OPPO, Vivo, Samsung, Tencent, Xiaomi 등 9개 제조업체의 클라우드 입력 방법을 분석한 결과 8개의 입력 방법 소프트웨어에 심각한 취약점이 포함되어 있음을 발견했습니다. 연구자들은 사용자 입력을 보호하기 위해 제조업체가 설계한 암호화 방법을 완전히 깨뜨렸습니다. 사용자 입력 콘텐츠를 보호하기 위해 암호화 방법을 사용하지 않는 일부 제조업체 도 있습니다 .
▲ Android 및 iOS에서 Baidu IME가 사용하는 BCTR 모드 암호화 방식의 개략도
연구진은 영향을 받은 9명의 개발자에게 취약점 보고서를 제출했으며, 대부분의 개발자는 문제를 심각하게 받아들이고 패치를 진행했지만, 여전히 취약점이 패치되지 않은 입력 방법이 몇 가지 있습니다.
테스트한 9개 제조업체의 애플리케이션 중 화웨이 제품 에서만 사용자 입력 콘텐츠를 클라우드에 업로드하는 것과 관련된 보안 문제를 발견하지 못했습니다. 사용자 입력의
참고 링크
https://citizenlab.ca/wp-content/uploads/2024/04/CitizenLabReport175-keyboardvuln.pdf