David Baillot / University of California San Diego
Detalhe de um ecrã de autenticação num smartphone Android
Dados de 450 milhões de utilizadores terão sido roubados. Falha estava num modelo utilizado por cerca de 70% dos utilizadores de Android na China.
Uma vulnerabilidade crítica no teclado para Android mais popular da China abria as portas para o possível roubo dos dados digitados por 450 milhões de utilizadores.
A brecha estava no Sogou Input Method, publicado pela gigante Tencent e utilizado por cerca de 70% dos utilizadores de smartphones com o sistema operacional no país.
A falha no Sogou Input Method aparecia no momento em que as informações eram enviadas a servidores da empresa, uma dinâmica insegura por si só, por ferir a privacidade dos utilizadores.
Essa partilha obrigatória de informações acontecia através de um sistema de criptografia chamado EncryptWall, desenvolvido pela própria Tencent, e que poderia ser manipulado para descobrir as informações trocadas entre o aparelho dos utilizadores e a infraestrutura da empresa.
De acordo com o Citizen Lab, laboratório de estudos em privacidade e segurança da Universidade de Toronto, no Canadá, bastariam explorações simples para que os dados digitados fossem revelados.
Assim, credenciais de acesso, conversas pessoais e informações sigilosas poderiam ser facilmente descobertas por bandidos que aplicassem ataques do tipo man in the middle, capturando os dados que eram enviados à Tencent.
Golpes desse tipo costumam ser usados em redes públicas, como as de hotéis, aeroportos e cafés, bem como em Wi-Fis empresariais, justamente em busca de informações sensíveis.
Segundo os especialistas, a quebra na criptografia do Sogou Input Method era possível não apenas na versão Android do teclado, mas também no Windows; vulnerabilidades também foram encontradas na edição iOS, mas não puderam ser exploradas pelos estudiosos.
A vulnerabilidade foi informada à Tencent em maio deste ano, com a brecha a ser corrigida ao final de julho.
A recomendação, então, é que os utilizadores do Sogou Input Method realizem a atualização imediata da aplicação, com as versões 11.26 no Android, 13.7 no Windows e 11.25 no iOS não mais contendo a abertura que permitia a interceptação dos dados.
Risco para utilizadores de todo o mundo
Além disso, claro, há a questão da partilha de informações dos utilizadores com a própria Tencent, que comprou a Sogou, empresa de tecnologia que gerencia o app, motores de busca e outras tecnologias, em 2021.
Esse elemento faz parte dos termos de uso do software e pode ferir completamente a privacidade dos utilizadores, com a empresa a ter acesso, também, a todos os dados digitados, incluindo conversas sigilosas, logins e senhas.
Enquanto essa é uma imposição do governo do país, o download do teclado está disponível para utilizadores de outros territórios, incluindo o Brasil.
A sua popularidade está relacionada à customização de dicionários e facilidade na inserção de caracteres, incluindo o suporte a gestos e comandos de voz, o que o torna uma opção interessante para quem precisa de comunicar em chinês.
Em seu relatório, o Citizen Lab alerta os utilizadores de todo o mundo sobre essa partilha e deixa claro que eles devem estar cientes de que as suas informações estão a ser repassadas para a empresa.
A recomendação de segurança, principalmente aos utilizadores internacionais, é que evitem utilizar o teclado para inserir senhas de acesso ou ter conversas sigilosas.
O mesmo também vale para o uso de redes públicas ou inseguras, citadas como elementos acessórios na exploração da criptografia do teclado da Sogou.
Como medida de segurança básica, é importante evitar tais Wi-Fis, principalmente para utilizar apps sensíveis, como financeiros ou e-mails.
Prefira os dados móveis para tais fins e, caso a conexão sem fio seja imprescindível, ative a VPN para adicionar uma camada extra de proteção aos dados.
Ao instalar aplicações, ainda, fique atento aos termos de uso e políticas de privacidade, de forma a entender como os dados inseridos serão utilizados e compartilhados pelos programadores.
Evite links enviados por mensagem ou downloads diretos, preferindo lojas oficiais como a Google Play Store, prestando atenção também a comentários que possam identificar soluções perigosas.
// Canaltech
