Même si la sécurité d’Android s’est beaucoup améliorée avec les dernières mises à jour et qu’il continuera à recevoir de nouvelles fonctions qui protégeront nos données, il suffit d’un seul élément en panne pour qu’il ne soit d’aucune utilité. Surtout s’il s’agit d’une partie aussi sensible que notre clavier.
Le « cauchemar » de pouvoir lire ce que nous écrivons sur notre clavier mobile est réel, comme le disent les chercheurs de Laboratoire citoyen; La seule bonne nouvelle est que la majorité des utilisateurs en Espagne ne devraient pas être concernés, puisque la vulnérabilité découverte ne concerne qu’une seule langue, le chinois mandarin.
La mauvaise nouvelle est que la vulnérabilité est répandue, relativement facile à exploiter pour un hacker et affecte un très grand nombre de marques : Honor, OPPO, Samsung, Vivo, Xiaomi, Baidu, ioFlytek et Tencent. La seule marque qui a fait l’objet d’une enquête et qui n’a pas souffert du même problème était Huawei, ce qui indique l’ampleur de ce problème.
Espions sur le clavier
Plus précisément, les chercheurs ont découvert des problèmes dans le cryptage utilisé par les applications pour les services cloud. lors de l’utilisation de la saisie semi-automatique; mais uniquement lorsque l’utilisateur écrit en pinyin, une méthode de transcription en chinois mandarin utilisée lorsque vous n’avez pas accès (ou ne souhaitez pas utiliser) les caractères chinois.
Le pinyin permet de représenter les sons de la langue chinoise en utilisant les lettres de l’alphabet latin de base ; et de cette manière, il est possible d’éviter de mettre des dizaines de milliers de caractères chinois sur le petit clavier d’un téléphone portable. On calcule donc que 76% des utilisateurs chinois l’utilisent pour communiquer dans vos applications.
Les claviers analysés ont en commun d’utiliser des fonctions cloud pour prédire les caractères que l’utilisateur souhaite taper ; et cela signifie qu’une connexion Internet est nécessaire. La vulnérabilité découverte permettrait un attaquant « écoute » cette connexion et obtenez tout ce que nous avons tapé sur le clavier, donc obtenir toutes nos conversations et données importantes comme les mots de passe ou les numéros de carte de crédit serait simple.
Les chercheurs ont informé les marques concernées avant de rendre publique leur découverte et ont confirmé que la plupart ont publié des mises à jour qui comblent cette faille de sécurité. Par conséquent, il est conseillé de mettre à jour notre application clavier si nous ne l’avons pas encore fait.
Il existe cependant des exceptions ; Les claviers Honor, Baidu et Tencent seraient toujours vulnérables. À cela, il faut ajouter qu’il est très possible qu’il existe beaucoup plus d’applications qui souffrent du même problème, car il semble répandu, mais que les chercheurs n’ont pas pu prouver.