عمليات استغلال لوحة مفاتيح الهاتف تترك مليار مستخدم مكشوفًا
تم استخدام لوحات المفاتيح الرقمية باللغة الصينية المعرضة للتجسس والتنصت من قبل مليار مستخدم للهواتف الذكية، وفقًا لتقرير جديد. يمكن للتهديدات الواسعة النطاق التي تكشفها هذه الأنظمة المتسربة أن تمثل أيضًا نوعًا جديدًا مثيرًا للقلق من استغلال الهجمات الإلكترونية، سواء كان الجهاز يستخدم لوحة مفاتيح باللغة الصينية، أو لوحة مفاتيح باللغة الإنجليزية، أو أي لوحة مفاتيح أخرى.
في العام الماضي، أصدر مختبر سيتيزن لاب التابع لجامعة تورونتو دراسة عن نظام لوحة المفاتيح الصيني المملوك لشركة تينسنت العملاقة للتكنولوجيا ومقرها شنتشن. كشف تقرير “Sogou Keyboard” الصادر عن Citizen Lab عن نطاق واسع من الهجمات المحتملة على لوحة المفاتيح، والتي قد تؤدي إلى تسرب ضغطات المفاتيح التي يقوم بها المستخدم إلى المتنصتين الخارجيين. الآن، في الدراسة الجديدة للمجموعة، والتي صدرت الأسبوع الماضي، اكتشف نفس الباحثين أن جميع لوحات مفاتيح الهواتف الذكية الصينية المشهورة في العالم عانت من نقاط ضعف مماثلة.
“مهما كان ما كتبه مستخدمو تطبيقك باللغة الصينية، فقد تم كشفه لسنوات.” – جيديديا كراندال، جامعة ولاية أريزونا
وبينما تم إصلاح الأخطاء المحددة التي كشف عنها التقريران في معظم الحالات، فإن نتائج الباحثين – وخاصة توصياتهم – تشير إلى فجوات أكبر بكثير في الأنظمة التي تمتد إلى البرامج التي تم تطويرها حول العالم، بغض النظر عن اللغة. .
تقول منى وانج، دكتوراه في علوم الكمبيوتر: “كانت كل لوحات المفاتيح هذه تستخدم أيضًا بروتوكولات شبكة مخصصة”. طالب في جامعة برينستون ومؤلف مشارك للتقرير. “لأنني درست هذا النوع من بروتوكولات الشبكة المخصصة من قبل، صرخت في ذهني على الفور أن هناك شيئًا فظيعًا يحدث حقًا.”
يقول جيديديا كراندال، الأستاذ المشارك في الحوسبة والذكاء المعزز في جامعة ولاية أريزونا في تيمبي، والذي تمت استشارته في إعداد التقرير ولكنه لم يكن ضمن فريق البحث، إن نقاط الضعف هذه مهمة تقريبًا لأي مبرمج أو فريق تطوير يصدر أعماله إلى العالم. عالم. ويقول: “إذا كنت مطورًا لتطبيق دردشة يركز على الخصوصية أو تطبيقًا لتتبع شيء متعلق بالصحة، فإن أي شيء ربما كتبه مستخدمو تطبيقك باللغة الصينية فيه قد تم كشفه لسنوات”.
مشكلة لوحة المفاتيح الصينية
تمثل اللغة الصينية، وهي لغة تتكون من عشرات الآلاف من الأحرف مع حوالي 4000 حرف أو أكثر شائعة الاستخدام، تحديًا واضحًا لإدخال لوحة المفاتيح. تم تطوير مجموعة من أنظمة لوحة المفاتيح المختلفة في العصر الرقمي – تسمى أحيانًا لوحات مفاتيح بينيين، والتي سميت على اسم نظام الكتابة بالحروف اللاتينية الشائع للغة الصينية القياسية. من الناحية المثالية، تتيح هذه الأساليب الإبداعية للإدخال الرقمي لغة معقدة للغاية يمكن نطقها صوتيًا وترجمتها بشكل مباشر عبر تنسيق لوحة مفاتيح مدمج غالبًا على طراز QWERTY.
“حتى الأشخاص الأكفاء وذوي الموارد الجيدة يخطئون في التشفير، لأنه من الصعب حقًا القيام بذلك بشكل صحيح.” – منى وانج، جامعة برينستون
يمكن أن يساعد الذكاء الحسابي والذكاء الاصطناعي في تحويل ضغطات المفاتيح إلى أحرف صينية على الشاشة. لكن لوحات المفاتيح الصينية غالبا ما تتضمن العديد من التبادلات عبر الإنترنت بين الخوادم السحابية وغيرها من التطبيقات الشبكية المساعدة، فقط لتمكين الشخص الناطق باللغة الصينية من كتابة الأحرف.
وفقًا للتقرير – والأسئلة الشائعة التي أصدرها الباحثون لشرح النقاط الفنية بلغة واضحة – قامت لوحات المفاتيح الصينية بدراسة جميع ميزات التنبؤ بالأحرف المستخدمة، والتي اعتمدت بدورها على موارد الحوسبة السحابية. ووجد الباحثون أن الاتصالات الآمنة بشكل غير صحيح بين تطبيق لوحة مفاتيح الجهاز وتلك الخوادم السحابية الخارجية تعني إمكانية الوصول إلى ضغطات المفاتيح الخاصة بالمستخدمين (وبالتالي رسائلهم) أثناء النقل.
يقول جيفري نوكل، أحد كبار الباحثين في Citizen Lab والمؤلف المشارك للتقرير، إن التنبؤ بالحروف المستندة إلى السحابة يعد ميزة جذابة بشكل خاص للوحات المفاتيح باللغة الصينية، نظرًا للمجموعة الواسعة من الأحرف المحتملة التي قد يحاول أي تسلسل محدد لضغطات مفاتيح QWERTY تمثيلها . يقول: “إذا كنت تكتب باللغة الإنجليزية أو بأي لغة يوجد بها مفاتيح كافية على لوحة المفاتيح لجميع الحروف، فهذه بالفعل مهمة أبسط بكثير لتصميم لوحة مفاتيح أكثر من لغة إيديوغرافية حيث قد يكون لديك أكثر من 10000 حرف”.
غالبًا ما تكون لوحات المفاتيح باللغة الصينية عبارة عن “لوحات مفاتيح بينيين”، والتي تسمح بكتابة آلاف الأحرف باستخدام أسلوب QWERTY.زامو/ ويكيميديا
أعربت سارة شيفلر، زميلة ما بعد الدكتوراه في معهد ماساتشوستس للتكنولوجيا، عن قلقها أيضًا بشأن أنواع أخرى من نقاط الضعف في البيانات التي كشف عنها تقرير Citizen Lab، بما يتجاوز لوحات المفاتيح والتطبيقات المحددة باللغة الصينية بالضرورة. “نقاط الضعف [identified by the report] وتقول: “إنها ليست مخصصة على الإطلاق للوحات المفاتيح بنظام Pinyin”. “ينطبق هذا على أي تطبيق يرسل البيانات عبر الإنترنت. أي تطبيق يرسل معلومات غير مشفرة – أو مشفرة بشكل سيئ – سيكون له مشكلات مماثلة.
يقول وانغ إن المشكلة الرئيسية التي كشفها الباحثون تتعلق بحقيقة أن العديد من بروتوكولات لوحة المفاتيح الصينية تنقل البيانات باستخدام تشفير رديء وأحيانًا مخصص.
يقول وانغ: “من المحتمل أن يكون قد تم تطوير بروتوكولات التشفير هذه بواسطة أشخاص ذوي كفاءة عالية جدًا ولديهم موارد جيدة جدًا”. “ولكن حتى الأشخاص الأكفاء وذوي الموارد الجيدة يخطئون في التشفير، لأنه من الصعب حقًا القيام بذلك بشكل صحيح.”
ما وراء نقاط الضعف المكشوفة
يشير شيفلر إلى الاختبار والتكرار والتطوير الذي استمر لعقدين من الزمن لنظام أمان طبقة النقل (TLS) الذي يقوم عليه الكثير من اتصالات الإنترنت الآمنة، بما في ذلك مواقع الويب التي تستخدم بروتوكول نقل النص التشعبي الآمن (HTTPS). (تم تحديد الإصدار الأول من TLS وإصداره في عام 1999). [cryptography] يقول وانغ: “أو استخدام خوارزميات التشفير الخاصة بهم هو نوع من تفويت كل تلك السنوات العشرين من تطوير التشفير القياسي”.
يقول كراندال إن التقرير ربما سلط الضوء أيضًا عن غير قصد على الافتراضات المتعلقة بالبروتوكولات الأمنية التي قد لا تنطبق دائمًا في كل ركن من أركان العالم. ويقول: “إن البروتوكولات مثل TLS أحيانًا تضع افتراضات لا تناسب احتياجات المطورين في أجزاء معينة من العالم”. على سبيل المثال، يضيف أن أنظمة الأمان المصممة خصيصًا والتي لا تعتمد على TLS قد تكون أكثر جاذبية “حيث يكون تأخير الشبكة مرتفعًا أو حيث قد يقضي الأشخاص وقتًا طويلاً في المناطق التي لا يمكن الوصول إلى الشبكة فيها”.
يقول شيفلر إن مشكلة لوحة المفاتيح باللغة الصينية يمكن أن تمثل نوعًا من الكناري في منجم الفحم لمجموعة من أنظمة الكمبيوتر والهواتف الذكية والبرمجيات. ونظرًا لاعتمادها على اتصالات واسعة النطاق عبر الإنترنت، فإن مثل هذه الأنظمة – على الرغم من تجاهلها أو تجاهلها من قبل المطورين – لا تزال تمثل أيضًا سطوح هجوم محتملة للأمن السيبراني.
يقول شيفلر: “وفقًا للروايات، فإن الكثير من هذه الإخفاقات الأمنية تنشأ من مجموعات لا تعتقد أنها تفعل أي شيء يتطلب الأمن أو ليس لديها الكثير من الخبرة الأمنية”.
يحدد شيفلر “لوحات المفاتيح النصية التنبؤية القائمة على الإنترنت بأي لغة، وربما بعض ميزات الذكاء الاصطناعي المستندة إلى الإنترنت والتي تسللت إلى التطبيقات على مر السنين” كأماكن محتملة تخفي ثغرات أمنية إلكترونية مماثلة لتلك التي اكتشفها فريق Citizen Lab باللغة الصينية. – لوحات المفاتيح اللغوية. وتضيف أن هذه الفئة يمكن أن تشمل التعرف على الصوت، وتحويل الكلام إلى نص، وتحويل النص إلى كلام، وأدوات الذكاء الاصطناعي التوليدية.
يقول شيفلر: “إن الأمن والخصوصية لا يكونان في مقدمة اهتمامات العديد من الأشخاص عندما يقومون بإنشاء تطبيقهم الرائع لتحرير الصور”. ربما لا ينبغي أن تكون هذه هي الفكرة الأولى، لكنها يجب أن تكون بالتأكيد أ يتم التفكير فيه بحلول الوقت الذي يصل فيه التطبيق إلى المستخدمين.
تم تحديث هذه القصة في 29 أبريل 2024.
من مقالات موقعك
مقالات ذات صلة حول الويب