Najpopularnejša kitajska aplikacija za tipkovnico vestno pošilja vnose na strežnike
Matej Huš
12. avg 2023 ob 11:27:04
Najpopularnejša kitajska aplikacija za prilagojeno oziroma produktivno tipkovnico na pametnih telefonih Sogou Keyboard ima več kot 450 milijonov uporabnikov in predstavlja glavni način vnašanja besedila. Poleg tega pa ima še funkcijo, s katero vsi ti milijoni niso seznanjeni, čeprav morda ne bo presenetila. Sogou Keyboard beleži vse vnose oziroma pritiske tipk in jih vestno pošilja kitajskemu tehnološkemu gigantu Tencent, ki ima prek podružnice Sogou aplikacijo v lasti.
To so javnosti razkrili raziskovalci iz Citizen Laba. Glavno odkritje je bil v resnici nezaščiteni prenos podatkov to Tencenta, zato so vnosom lahko prisluškovali še drugi akterji. Tencent so o tem obvestili konec maja letos. Ta je tri tedne pozneje odgovoril, da varnostne luknje ni, le dan pozneje pa so se popravili in priznali ranljivost. Tencent je ob tem prosil, da ranljivosti ne razkrijejo javnosti. V Citizen Labu so odgovorili, da bodo ranljivost javnosti razkrili konec julija, kar predstavlja odgovoren način razkrivanja ranljivosti. Tencent je do tega roka odpravil ranljivosti.
Uporabnikom aplikacije priporočajo nadgradnjo na najnovejšo različico, ki ranljivost odpravlja. Ob tem pa ostaja dejstvo, da je Tencent zakrpal luknjo, ki so jo prijavili v Citizen Labu. Ali je v aplikacija prisotna še kakšna druga luknja, ni znano, ker koda ni javno dostopna. Še vedno pa ostaja funkcionalnost, ki je tam namenoma. Vsi vnosi se pošiljajo na Tencentove strežnike, ki so locirani na Kitajskem in za katere velja kitajska zakonodaja. Vsebina je torej znana podjetju Sogou in vsem, ki jim dovolijo dostop. Za tvegane uporabnike zato ni primerna.