عمليات استغلال لوحة مفاتيح الهاتف تترك مليار مستخدم مكشوفًا

يقول جيفري نوكل، أحد كبار الباحثين في Citizen Lab والمؤلف المشارك للتقرير، إن التنبؤ بالحروف المستندة إلى السحابة يعد ميزة جذابة بشكل خاص للوحات المفاتيح باللغة الصينية، نظرًا للمجموعة الواسعة من الأحرف المحتملة التي قد يحاول أي تسلسل محدد لضغطات مفاتيح QWERTY تمثيلها . يقول: “إذا كنت تكتب باللغة الإنجليزية أو بأي لغة يوجد بها مفاتيح كافية على لوحة المفاتيح لجميع الحروف، فهذه بالفعل مهمة أبسط بكثير لتصميم لوحة مفاتيح أكثر من لغة إيديوغرافية حيث قد يكون لديك أكثر من 10000 حرف”.

غالبًا ما تكون لوحات المفاتيح باللغة الصينية عبارة عن “لوحات مفاتيح بينيين”، والتي تسمح بكتابة آلاف الأحرف باستخدام أسلوب QWERTY.زامو/ ويكيميديا

أعربت سارة شيفلر، زميلة ما بعد الدكتوراه في معهد ماساتشوستس للتكنولوجيا، عن قلقها أيضًا بشأن أنواع أخرى من نقاط الضعف في البيانات التي كشف عنها تقرير Citizen Lab، بما يتجاوز لوحات المفاتيح والتطبيقات المحددة باللغة الصينية بالضرورة. “نقاط الضعف [identified by the report] وتقول: “إنها ليست مخصصة على الإطلاق للوحات المفاتيح بنظام Pinyin”. “ينطبق هذا على أي تطبيق يرسل البيانات عبر الإنترنت. أي تطبيق يرسل معلومات غير مشفرة – أو مشفرة بشكل سيئ – سيكون له مشكلات مماثلة.

يقول وانغ إن المشكلة الرئيسية التي كشفها الباحثون تتعلق بحقيقة أن العديد من بروتوكولات لوحة المفاتيح الصينية تنقل البيانات باستخدام تشفير رديء وأحيانًا مخصص.

يقول وانغ: “من المحتمل أن يكون قد تم تطوير بروتوكولات التشفير هذه بواسطة أشخاص ذوي كفاءة عالية جدًا ولديهم موارد جيدة جدًا”. “ولكن حتى الأشخاص الأكفاء وذوي الموارد الجيدة يخطئون في التشفير، لأنه من الصعب حقًا القيام بذلك بشكل صحيح.”

ما وراء نقاط الضعف المكشوفة

يشير شيفلر إلى الاختبار والتكرار والتطوير الذي استمر لعقدين من الزمن لنظام أمان طبقة النقل (TLS) الذي يقوم عليه الكثير من اتصالات الإنترنت الآمنة، بما في ذلك مواقع الويب التي تستخدم بروتوكول نقل النص التشعبي الآمن (HTTPS). (تم تحديد الإصدار الأول من TLS وإصداره في عام 1999). [cryptography] يقول وانغ: “أو استخدام خوارزميات التشفير الخاصة بهم هو نوع من تفويت كل تلك السنوات العشرين من تطوير التشفير القياسي”.

يقول كراندال إن التقرير ربما سلط الضوء أيضًا عن غير قصد على الافتراضات المتعلقة بالبروتوكولات الأمنية التي قد لا تنطبق دائمًا في كل ركن من أركان العالم. ويقول: “إن البروتوكولات مثل TLS أحيانًا تضع افتراضات لا تناسب احتياجات المطورين في أجزاء معينة من العالم”. على سبيل المثال، يضيف أن أنظمة الأمان المصممة خصيصًا والتي لا تعتمد على TLS قد تكون أكثر جاذبية “حيث يكون تأخير الشبكة مرتفعًا أو حيث قد يقضي الأشخاص وقتًا طويلاً في المناطق التي لا يمكن الوصول إلى الشبكة فيها”.

يقول شيفلر إن مشكلة لوحة المفاتيح باللغة الصينية يمكن أن تمثل نوعًا من الكناري في منجم الفحم لمجموعة من أنظمة الكمبيوتر والهواتف الذكية والبرمجيات. ونظرًا لاعتمادها على اتصالات واسعة النطاق عبر الإنترنت، فإن مثل هذه الأنظمة – على الرغم من تجاهلها أو تجاهلها من قبل المطورين – لا تزال تمثل أيضًا سطوح هجوم محتملة للأمن السيبراني.

يقول شيفلر: “وفقًا للروايات، فإن الكثير من هذه الإخفاقات الأمنية تنشأ من مجموعات لا تعتقد أنها تفعل أي شيء يتطلب الأمن أو ليس لديها الكثير من الخبرة الأمنية”.

يحدد شيفلر “لوحات المفاتيح النصية التنبؤية القائمة على الإنترنت بأي لغة، وربما بعض ميزات الذكاء الاصطناعي المستندة إلى الإنترنت والتي تسللت إلى التطبيقات على مر السنين” كأماكن محتملة تخفي ثغرات أمنية إلكترونية مماثلة لتلك التي اكتشفها فريق Citizen Lab باللغة الصينية. – لوحات المفاتيح اللغوية. وتضيف أن هذه الفئة يمكن أن تشمل التعرف على الصوت، وتحويل الكلام إلى نص، وتحويل النص إلى كلام، وأدوات الذكاء الاصطناعي التوليدية.

يقول شيفلر: “إن الأمن والخصوصية لا يكونان في مقدمة اهتمامات العديد من الأشخاص عندما يقومون بإنشاء تطبيقهم الرائع لتحرير الصور”. ربما لا ينبغي أن تكون هذه هي الفكرة الأولى، لكنها يجب أن تكون بالتأكيد أ يتم التفكير فيه بحلول الوقت الذي يصل فيه التطبيق إلى المستخدمين.

تم تحديث هذه القصة في 29 أبريل 2024.