روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ «هکرها می توانند هر ضربه کیبوردِ اسمارت‌فون‌های برند Honor، OPPO، Samsung، Vivo و Xiaomi را از راه اینترنت جاسوسی کنند»- عناوین نگران‌کننده‌ی این چنینی در طول چند هفته گذشته زیاد دست به دست چرخیده است. منشاء اینها بررسی نسبتاً جدی‌ای روی آسیب‌پذیری‌های رمزگذاری ترافیک کیبورد بوده است. مهاجمینی که قادرند ترافیک شبکه را برای مثال از طرق روتر خانگی آلوده مشاهده کنند می‌توانند هر ضربه کیبورد را رهگیری کرده و همه پسوردها و رمزهای شما را کشف کنند. اما به این سرعت نیاز نیست اندروید بدهید و به جایش آیفون بخرید- این فقط مربوط به ورودی زبان چینی با استفاده از سیستم پین‌یین[1] می‌شود و فقط اگر قابلیت «پیش‌بینی کلود» فعال باشد. با این همه فکر کردیم شاید ارزش داشته باشد این وضعیت را با سایر زبان‌ها و کیبوردهای برند دیگر نیز بررسی کنیم. با ما همراه بمانید.

چرا کیبوردهای پین‌یین به استراق‌سمع آسیب‌پذیرند؟

سیستم نوشتاری پین‌یین که به الفبای آواییِ چینی هم معروف است به کاربران کمک می‌کند با استفاده از حروف لاتین و دیاکریتیک، کلمات چینی بنویسند. این برای زبان چینی یک سیستم رومی‌سازی رسمی است که از بین باقی موارد سازمان ملل تأیید و اتخاذش کرده. کشیدن کاراکترهای چینی روی اسمارت‌فون کار سختی است پس متود ورودی پین‌یین محبوب شد و اکنون میلیاردها انسان طبق آمار از آن استفاده می‌کنند. برخلاف بسیاری از زبان‌های دیگر، اجرای پیش‌بینی کلمه چینی به طور مستقیم روی اسمارت‌فون خصوصاً در پین‌یین کار سختی است- به لحاظ رایانشی بسیار پیچیده است. از این رو تقریباً همه کیبوردها (یا دقیق‌تر بگوییم همه متودهای ورودی- IEMها) از پیش‌بینی ابری استفاده می‌کنند؛ بدین‌معنا که آن‌ها فوراً کاراکترهای پین‌یین واردشده توسط کاربر را به سرور می‌فرستند و در عوض پیشنهاد‌های تکمیل کلمه را دریافت می‌کنند. گاهی عملکرد «کلود» می‌تواند خاموش شود اما این سرعت و کیفیت ورودی چینی را کم می‌کند.

البته، همه کاراکترهایی که تایپ می‌کنید به دلیل سیستم "پیش بینی ابری" در دسترس توسعه‌دهندگان صفحه کلید هستند. اما این همه چیز نیست! تبادل داده کاراکتر به کاراکتر نیاز به رمزگذاری خاصی دارد که بسیاری از توسعه دهندگان آن را به درستی اجرا نمی‌کنند. در نتیجه، تمام ضربه‌های کلید و پیش بینی‌های مربوطه را می‌توان به راحتی توسط افراد خارجی رمزگشایی کرد.

شما می‌توانید جزئیات هر یک از خطاهای یافت شده در منبع اصلی را بیابید، اما به طور کلی، از 9 صفحه کلید تجزیه و تحلیل شده، تنها پین‌یین IME در گوشی‌های هوشمند هوآوی به درستی رمزگذاری TLS را اجرا کرده و در برابر حملات مقاومت کرده است. با این حال، IME های Baidu، Honor، iFlytek، OPPO، Samsung، Tencent، Vivo و Xiaomi به درجات مختلفی آسیب‌پذیر هستند، به طوری که صفحه کلید پینیین استاندارد Honor (Baidu 3.1) و QQ pinyin حتی پس از تماس محققین، به‌روزرسانی‌ها را دریافت نمی‌کنند. توسعه دهندگان به کاربران پین‌یین توصیه می‌شود IME خود را به آخرین نسخه به‌روزرسانی و اگر به‌روزرسانی در دسترس نیست، IME پین‌یین دیگری را دانلود کنند.

آیا سایر کیبوردها ضربه کلید‌ها را ارسال می‌کنند؟

برای این کار به مهارت و فن نیازی نیست. برای بیشتر زبان‌ها، پایان‌های کلمه و جمله را می‌شود مستقیم روی دستگاه پیش‌بینی کرد؛ پس کیبوردهای محبوب به انتقال داده‌ها به صورت کاراکتر به کاراکتر نیاز ندارند. با این وجود داده‌ها در مورد متن واردشده شاید برای همگام‌سازی شخصی دیکشنری بین دستگاه‌ها، برای یادگیری ماشین، یا برای مقاصد دیگر که ممکن است مستقیم به کارکرد اصلی کیبورد ربط نداشته باشد (مانند تحلیل‌های تبلیغاتی) ارسال شوند. اینکه تمایل داشته باشید چنین داده‌هایی روی سرورهای گوگل، مایکروسافت ذخیره شوند یا نه به خودتان بستگی دارد اما بعید است کسی علاقه داشته باشند آن‌ها را بیگانه‌ها به اشتراک بگذارد. دست کم یکی از این حوادث در سال 2016 علنی شد؛ مشخص شد که صفحه کلید SwiftKey آدرس‌های ایمیل و سایر ورودی‌های فرهنگ لغت شخصی دیگر کاربران را پیش‌بینی می‌کند. پس از این حادثه، مایکروسافت به طور موقت سرویس همگام سازی را احتمالاً برای رفع خطاها غیرفعال کرد. اگر نمی‌خواهید فرهنگ لغت شخصی شما در سرورهای مایکروسافت ذخیره شود، حساب SwiftKey ایجاد نکنید و اگر قبلاً دارید، آن را غیرفعال کنید و داده‌های ذخیره شده در کلود را با دنبال کردن این دستورالعمل‌ها حذف نمایید.  هیچ مورد شناخته شده دیگری از افشای متن تایپ شده وجود نداشته است. با این حال، تحقیقات نشان داده است که صفحه کلیدهای محبوب به طور فعال فردداده‌ها را هنگام تایپ شما نظارت می‌کنند. به عنوان مثال، Gboard گوگل و SwiftKey مایکروسافت اطلاعاتی را در مورد هر کلمه وارد شده ارسال می کنند: زبان، طول کلمه، زمان دقیق ورودی و برنامه ای که کلمه در آن وارد شده است. SwiftKey همچنین آماری ذخیره می‌کند از اینکه چطور انرژی در این راستا ذخیره شده است:  

چند کلمه به طور کامل تایپ شد، چند کلمه به طور خودکار پیش‌بینی شد، و چند کلمه سوایپ شد.

  با توجه به اینکه هر دو صفحه کلید شناسه تبلیغاتی منحصر به فرد کاربر را به "دفتر مرکزی" ارسال می‌کنند، این فرصت کافی برای پروفایل ایجاد می‌کند - به عنوان مثال، تعیین اینکه کدام کاربران در هر پیام‌رسان با یکدیگر در تعامل هستند ممکن می‌شود. اگر اکانت سوئیفت‌کی ایجاد کنید و گزینه "Help Microsoft improve" را غیرفعال نکنید، طبق سیاست حفظ حریم خصوصی، ممکن است "نمونه‌های کوچک" از متن تایپ شده به سرور ارسال شود. نحوه کار و اندازه این "نمونه‌های کوچک" ناشناخته است.

گوگل به شما اجازه می‌دهد گزینه Share Usage Statistics را در جی‌بورد که به طور قابل‌ملاحظه‌ای میزان اطلاعات انتقالی را (شامل طول کلمه و اپ‌هایی که در آن‌ها کیبورد استفاده می‌گردد نمی‌شود) کاهش می‌دهد غیرفعال کنید. از حیث رمزگذاری هم باید گفت تبادل داده در Gboard و  SwiftKey بین محققین نگرانی و دغدغه محسوب نمی‌شود زیرا هر دو اپ به پیاده‌سازی استاندارد TLS در سیستم‌عامل متکی هستند و به حملات کریپتوگرافیک شایع مقاوم. از این رو رهگیری ترافیک در این اپ‌ها بعید است. افزون بر این دو اپ، نویسندگان همچنین اپ محبوب  AnySoftKeyboard را نیز تحلیل کردند. این اپ با ارسال نکردن هرگونه تله‌تری به سرورها کاملاً نشان داد چرا در زمینه حریم خصوصی پرآوازه شده است.

آیا ممکن است پسوردها یا سایر داده‌های محرمانه از اسمارت‌فون نشت شوند؟

اپ برای رهگیری داده‌های حساس نیازی ندارد کیبورد باشد. برای مثال، تیک‌تاک همه داده‌های کپی‌شده در کلیپ‌بورد را نظارت می‌کند؛ گرچه این کارکرد به نظر برای یک شبکه اجتماعی غیرضروری می‌آید. بدافزار روی اندروید اغلب قابلیت‌های دسترسی و حقوق ادمین را روی اسمارت‌فون‌ها فعال می‌کند تا گرفتن داده از فیلدهای ورودی و دریافتشان مستقیم از فایل‌های اپ‌های مورد علاقه میسر شود. از طرفی دیگر، کیبورد اندرویدی می‌تواند تنها متن تایپ‌شده را نشت نمی‌دهد. برای ثمال کیبورد مدل هوش مصنوعی باعث نشت داده 31 میلیون کاربر شد. به دلایلی، داده‌هایی مانند شماره تلفن، ژئولوکیشن دقیق و حتی محتوای دفترچه آدرس را جمع کرد.

راهکارهای امنیتی

•         در صورت امکان، از صفحه کلیدی استفاده کنید که داده های غیر ضروری را به سرور ارسال نمی‌کند. قبل از نصب برنامه صفحه کلید جدید، برای اطلاعاتی در مورد آن در وب جستجو کنید - اگر رسوایی‌هایی در ارتباط با آن وجود داشته باشد، بلافاصله نشان داده می‌شود.
•         اگر بیشتر درگیر راحتی کیبورد هستید تا حفظ حریم خصوصی آن (ما قضاوت نمی‌کنیم، صفحه‌کلید مهم است)، تنظیمات را دنبال کنید و گزینه‌های همگام‌سازی و انتقال آمار را تا جایی که ممکن است غیرفعال کنید. این موارد ممکن است تحت نام‌های مختلفی از جمله «حساب»، «کلود»، «به ما کمک کنید تا پیشرفت کنیم» و حتی «اهدای صوتی» پنهان شده باشند.
•         بررسی کنید که صفحه کلید به کدام مجوزهای اندروید نیاز دارد و هر موردی را که به آن نیاز ندارد لغو کنید. دسترسی به مخاطبین یا دوربین قطعا برای صفحه کلید ضروری نیست.
•         فقط برنامه ها را از منابع قابل اعتماد نصب کنید، شهرت و اعتبار برنامه را بررسی کنید، و دوباره تذکر می‌دهیم، مجوزهای بیش از حد به آن ندهید.
•         از محافظت جامع برای همه تلفن‌های هوشمند Android و iOS مانند Kaspersky Premium استفاده کنید.

[1] pinyin

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.