صفحه کلید اندروید به غریبه ها چه می گوید؟

صفحه کلید اندروید به غریبه ها چه می گوید؟

در این مقاله بررسی می کنیم که آیا می توان تمام اسرار خود را از طریق صفحه کلید روی صفحه گوشی هوشمند خود فاش کرد یا خیر؟!

“هکرها می توانند از طریق اینترنت از هر ضربه کلید گوشی های Honor، OPPO، Samsung، Vivo و Xiaomi جاسوسی کنند” – عناوین نگران کننده ای مانند این در چند هفته گذشته در رسانه ها پخش شده است. منشا آنها یک مطالعه نسبتاً جدی در مورد آسیب پذیری در رمزگذاری ترافیک صفحه کلید بود. مهاجمانی که می توانند ترافیک شبکه را مشاهده کنند، به عنوان مثال، از طریق یک روتر خانگی آلوده، در واقع می توانند هر ضربه زدن به کلید را رهگیری کنند و همه رمزهای عبور و اسرار شما را کشف کنند. اما هنوز برای تعویض اندروید خود با آیفون عجله نکنید – این فقط به ورودی زبان چینی با استفاده از سیستم پینیین مربوط می شود و تنها در صورتی که ویژگی «پیش بینی ابری» فعال باشد. با این وجود، ما فکر کردیم که ارزش بررسی وضعیت با زبان های دیگر و صفحه کلیدهای تولیدکنندگان دیگر را دارد.

چرا بسیاری از صفحه کلیدهای پینیین در برابر استراق سمع آسیب پذیر هستند؟

سیستم نوشتن پینیین که به عنوان الفبای آوایی چینی نیز شناخته می شود، به کاربران کمک می کند تا کلمات چینی را با استفاده از حروف لاتین و دیاکریتیک بنویسند. این سیستم رسمی رومی‌سازی برای زبان چینی است که توسط سازمان ملل متحد در میان دیگران پذیرفته شده است. ترسیم نویسه‌های چینی در تلفن هوشمند نسبتاً ناخوشایند است، بنابراین روش ورودی پین‌یین بسیار محبوب است و بر اساس برخی تخمین‌ها بیش از یک میلیارد نفر از آن استفاده می‌کنند. برخلاف بسیاری از زبان‌های دیگر، پیش‌بینی کلمات برای چینی، به‌ویژه در پین‌یین، به سختی قابل پیاده‌سازی مستقیم در گوشی هوشمند است – این یک کار محاسباتی پیچیده است. بنابراین، تقریباً همه صفحه‌کلیدها (یا دقیق‌تر، روش‌های ورودی – IME) از «پیش‌بینی ابری» استفاده می‌کنند، به این معنی که آنها فوراً کاراکترهای پینیین وارد شده توسط کاربر را به سرور ارسال می‌کنند و در ازای آن پیشنهادات تکمیل کلمه را دریافت می‌کنند. گاهی اوقات عملکرد “ابر” را می توان خاموش کرد، اما این باعث کاهش سرعت و کیفیت ورودی چینی می شود.

البته، همه کاراکترهایی که تایپ می کنید به دلیل سیستم “پیش بینی ابری” در دسترس توسعه دهندگان صفحه کلید هستند. اما این همه ماجرا نیست! تبادل داده کاراکتر به کاراکتر نیاز به رمزگذاری خاصی دارد که بسیاری از توسعه دهندگان آن را به درستی اجرا نمی کنند. در نتیجه، تمام ضربه های کلید و پیش بینی های مربوطه را می توان به راحتی توسط افراد خارجی رمزگشایی کرد.

شما می توانید جزئیات هر یک از خطاهای یافت شده در منبع اصلی را بیابید، اما به طور کلی، از 9 صفحه کلید تجزیه و تحلیل شده، تنها پینیین IME در گوشی های هوشمند هوآوی به درستی رمزگذاری TLS را اجرا کرده و در برابر حملات مقاومت کرده است. با این حال، IME های Baidu، Honor، iFlytek، OPPO، Samsung، Tencent، Vivo و Xiaomi به درجات مختلفی آسیب پذیر هستند، به طوری که صفحه کلید پینیین استاندارد Honor (Baidu 3.1) و QQ pinyin حتی پس از تماس محققان، به‌روزرسانی‌ها را دریافت نمی‌کنند. توسعه دهندگان به کاربران پین‌یین توصیه می‌شود IME خود را به آخرین نسخه به‌روزرسانی کنند و اگر به‌روزرسانی در دسترس نیست، IME پینیین دیگری را دانلود کنند.

آیا سایر کیبوردها کلید امنیتی را می فرستند؟

هیچ نیاز فنی مستقیمی برای این وجود ندارد. برای بیشتر زبان‌ها، پایان‌های کلمه و جمله را می‌توان مستقیماً روی دستگاه پیش‌بینی کرد، بنابراین صفحه‌کلیدهای محبوب نیازی به انتقال نویسه به نویسه ندارند. با این وجود، ممکن است داده‌های مربوط به متن وارد شده به سرور برای همگام‌سازی فرهنگ لغت شخصی بین دستگاه‌ها، برای یادگیری ماشینی، یا برای اهداف دیگری که مستقیماً به عملکرد اصلی صفحه‌کلید مربوط نمی‌شود – مانند تجزیه و تحلیل تبلیغات، ارسال شود.

اینکه آیا می‌خواهید چنین داده‌هایی در سرورهای Google و مایکروسافت ذخیره شوند یا نه، یک انتخاب شخصی است، اما بعید است که کسی علاقه‌مند به اشتراک‌گذاری آن با افراد خارجی باشد. حداقل یک مورد از این قبیل در سال 2016 منتشر شد – صفحه کلید SwiftKey نشانی های ایمیل و سایر مدخل های فرهنگ لغت شخصی دیگر کاربران را پیش بینی می کرد. پس از این حادثه، مایکروسافت به طور موقت سرویس همگام سازی را غیرفعال کرد، احتمالاً برای رفع خطاها. اگر نمی‌خواهید فرهنگ لغت شخصی شما در سرورهای مایکروسافت ذخیره شود، یک حساب SwiftKey ایجاد نکنید و اگر قبلاً دارید، آن را غیرفعال کنید و داده‌های ذخیره شده در ابر را با دنبال کردن این دستورالعمل‌ها حذف کنید.

هیچ مورد شناخته شده دیگری از افشای متن تایپ شده وجود نداشته است. با این حال، تحقیقات نشان داده است که صفحه کلیدهای محبوب به طور فعال متادیتا را هنگام تایپ شما نظارت می کنند. به عنوان مثال، Gboard گوگل و SwiftKey مایکروسافت اطلاعاتی را در مورد هر کلمه وارد شده ارسال می کنند: زبان، طول کلمه، زمان دقیق ورودی و برنامه ای که کلمه در آن وارد شده است. SwiftKey همچنین آماری را در مورد میزان تلاش ذخیره شده ارسال می کند: چند کلمه به طور کامل تایپ شده است، چه تعداد به طور خودکار پیش بینی شده اند، و چه تعداد از آنها تند کشیدند. با توجه به اینکه هر دو صفحه کلید شناسه تبلیغاتی منحصر به فرد کاربر را به “دفتر مرکزی” ارسال می کنند، این فرصت کافی برای پروفایل ایجاد می کند – به عنوان مثال، تعیین اینکه کدام کاربران در هر پیام رسان با یکدیگر متناظر هستند ممکن می شود.

اگر یک حساب SwiftKey ایجاد کنید و گزینه “Help Microsoft بهبود” را غیرفعال نکنید، طبق سیاست حفظ حریم خصوصی، ممکن است “نمونه های کوچک” از متن تایپ شده به سرور ارسال شود. نحوه کار و اندازه این “نمونه های کوچک” ناشناخته است.

Google به شما امکان می‌دهد گزینه «اشتراک‌گذاری آمار استفاده» را در Gboard غیرفعال کنید، که به میزان قابل توجهی میزان اطلاعات ارسال‌شده را کاهش می‌دهد: طول کلمات و برنامه‌هایی که از صفحه‌کلید استفاده می‌شد دیگر شامل نمی‌شوند.

از نظر رمزنگاری، تبادل داده در Gboard و SwiftKey هیچ نگرانی در میان محققان ایجاد نکرد، زیرا هر دو برنامه به پیاده سازی استاندارد TLS در سیستم عامل متکی هستند و در برابر حملات رمزنگاری رایج مقاوم هستند. بنابراین، رهگیری ترافیک در این برنامه ها بعید است.

علاوه بر Gboard و SwiftKey، نویسندگان برنامه محبوب AnySoftKeyboard را نیز تجزیه و تحلیل کردند. با ارسال نکردن تله متری به سرورها، به طور کامل به شهرت خود به عنوان یک صفحه کلید برای افراد سختگیر در حفظ حریم خصوصی عمل کرد.

آیا ممکن است رمزهای عبور و سایر اطلاعات محرمانه از تلفن هوشمند درز کند؟

یک برنامه برای رهگیری داده های حساس لازم نیست یک صفحه کلید باشد. برای مثال، TikTok تمام داده‌های کپی‌شده در کلیپ‌بورد را کنترل می‌کند، حتی اگر این عملکرد برای یک شبکه اجتماعی غیرضروری به نظر برسد. بدافزار در Android اغلب ویژگی‌های دسترسی و حقوق سرپرست را در تلفن‌های هوشمند فعال می‌کند تا داده‌ها را از فیلدهای ورودی و مستقیماً از فایل‌های برنامه‌های «جالب» بگیرد.

از سوی دیگر، صفحه کلید اندروید می تواند نه تنها متن تایپ شده را “نشت” کند. به عنوان مثال، صفحه کلید AI.Type باعث نشت اطلاعات برای 31 میلیون کاربر شد. بنا به دلایلی، داده هایی مانند شماره تلفن، موقعیت جغرافیایی دقیق و حتی محتویات دفترچه آدرس را جمع آوری کرد.

چگونه از خود در برابر جاسوسی صفحه کلید محافظت کنید؟

  • در صورت امکان، از صفحه کلیدی استفاده کنید که داده های غیر ضروری را به سرور ارسال نمی کند. قبل از نصب یک برنامه صفحه کلید جدید، برای اطلاعاتی در مورد آن در وب جستجو کنید – اگر رسوایی هایی در ارتباط با آن وجود داشته باشد، بلافاصله نشان داده می شود.
  • اگر بیشتر نگران راحتی صفحه‌کلید هستید تا حفظ حریم خصوصی آن (ما قضاوت نمی‌کنیم، صفحه‌کلید مهم است)، تنظیمات را دنبال کنید و گزینه‌های همگام‌سازی و انتقال آمار را تا جایی که ممکن است غیرفعال کنید. این موارد ممکن است تحت نام‌های مختلفی از جمله «حساب»، «ابر»، «به ما کمک کنید تا پیشرفت کنیم» و حتی «اهدای صوتی» پنهان شده باشند.
  • بررسی کنید که صفحه کلید به کدام مجوزهای اندروید نیاز دارد و هر موردی را که به آن نیاز ندارد لغو کنید. دسترسی به مخاطبین یا دوربین قطعا برای صفحه کلید ضروری نیست.
  • فقط برنامه ها را از منابع قابل اعتماد نصب کنید، شهرت برنامه را بررسی کنید، و دوباره، مجوزهای بیش از حد به آن ندهید.

پیام بگذارید

آدرس ایمیل شما منتشر نخواهد شد.