Falha em teclado Android popular na China permite espionagem

Uma vulnerabilidade crítica no teclado para Android mais popular da China abria as portas para o possível roubo dos dados digitados por 450 milhões de usuários. A brecha estava no Sogou Input Method, publicado pela gigante Tencent e utilizado por cerca de 70% dos usuários de smartphones com o sistema operacional no país.

• 5 ataques mais populares contra celulares Android e iOS
• IAs podem descobrir sua senha pela temperatura do teclado

A falha no Sogou Input Method aparecia no momento em que as informações digitadas eram enviadas a servidores da empresa, uma dinâmica insegura por si só, por ferir a privacidade dos utilizadores. Esse compartilhamento obrigatório de informações acontecia por meio de um sistema de criptografia chamado EncryptWall, desenvolvido pela própria Tencent, e que poderia ser manipulado para descobrir as informações trocadas entre o aparelho dos usuários e a infraestrutura da desenvolvedora.

De acordo com o Citizen Lab, laboratório de estudos em privacidade e segurança da Universidade de Toronto, no Canadá, bastariam explorações simples para que os dados digitados fossem revelados. Assim, credenciais de acesso, conversas pessoais e informações sigilosas poderiam ser facilmente descobertas por bandidos que aplicassem ataques do tipo man in the middle, capturando os dados que eram enviados à Tencent.

Golpes desse tipo costumam ser usados em redes públicas, como as de hotéis, aeroportos e cafés, bem como em Wi-Fis empresariais, justamente em busca de informações sensíveis. Segundo os especialistas, a quebra na criptografia do Sogou Input Method era possível não apenas na versão Android do teclado, mas também no Windows; vulnerabilidades também foram encontradas na edição iOS, mas elas não puderam ser exploradas pelos estudiosos.

A vulnerabilidade foi informada à Tencent em maio deste ano, com a brecha sendo corrigida ao final de julho. A recomendação, então, é que os usuários do Sogou Input Method realizem a atualização imediata da aplicação, com as versões 11.26 no Android, 13.7 no Windows e 11.25 no iOS não mais contendo a abertura que permitia a interceptação dos dados.

Risco para usuários de todo o mundo

Além disso, claro, há a questão do compartilhamento de informações dos usuários com a própria Tencent, que comprou a Sogou, empresa de tecnologia que gerencia o app, motores de busca e outras tecnologias, em 2021. Tal elemento faz parte dos termos de uso do software e pode ferir completamente a privacidade dos usuários, com a desenvolvedora tendo acesso, também, a todos os dados digitados, incluindo conversas sigilosas, logins e senhas.

Enquanto essa é uma imposição do governo do país, o download do teclado está disponível para usuários de outros territórios, incluindo o Brasil. Sua popularidade está relacionada à customização de dicionários e facilidade na inserção de caracteres, incluindo o suporte a gestos e comandos de voz, o que o torna uma opção interessante para quem precisa se comunicar em chinês.

Em seu relatório, o Citizen Lab alerta aos usuários de todo o mundo sobre esse compartilhamento e deixa claro que eles devem estar cientes de que suas informações estão sendo repassadas para a desenvolvedora. A recomendação de segurança, principalmente aos usuários internacionais, é que evitem utilizar o teclado para inserir senhas de acesso ou ter conversas sigilosas.

O mesmo também vale para o uso de redes públicas ou inseguras, citadas como elementos acessórios na exploração da criptografia do teclado da Sogou. Como medida de segurança básica, é importante evitar tais Wi-Fis, principalmente para utilizar apps sensíveis, como financeiros ou e-mails. Prefira a rede celular para tais fins e, caso a conexão sem fio seja imprescindível, ative a VPN para adicionar uma camada extra de proteção aos dados.

Ao baixar aplicativos, ainda, fique atento aos termos de uso e políticas de privacidade, de forma a entender como os dados inseridos serão utilizados e compartilhados pelos desenvolvedores. Evite links enviados por mensagem ou downloads diretos, preferindo lojas oficiais como a Google Play Store, prestando atenção também em comentários que possam identificar soluções perigosas.