Citizen Labはこのほど、「The not-so-silent type: Vulnerabilities across keyboard apps reveal keystrokes to network eavesdroppers - The Citizen Lab」において、複数のIME(Input Method Editor)に脆弱性が存在すると伝えた。この脆弱性を悪用されると、入力したデータを攻撃者に窃取される可能性がある。
IMEの脆弱性の概要
発見された脆弱性はIMEとクラウドサーバ間の通信暗号化に存在するとされる。不十分な暗号化により、通信を傍受できる攻撃者にキーストロークを窃取、または推測される可能性がある。なお、調査の対象となったIMEは中国語向けの製品とされ、他の言語向け製品については評価されていないが、同じベンダーの場合は同様の脆弱性を持つ可能性がある。
脆弱性の影響を受ける製品
脆弱性が存在するとされる製品は次のとおり。
- Baidu IME / 百度输入法
- Baidu IME Custom Version / 百度输入法定制版
- Baidu IME Honor Version / 百度输入法荣耀版
- Baidu IME Xiaomi Version / 百度输入法小米版
- iFlytek IME / 讯飞输入法 (Android)
- iFlytek IME Xiaomi Version / 讯飞输入法小米版
- Sogou IME / 搜狗输入法 (Android、Windows)
- Sogou IME Xiaomi Version / 搜狗输入法小米版
- Sogou IME Custom Version / 搜狗输入法定制版
- Samsung Keyboard
- QQ Pinyin IME / QQ拼音输入法 (Android、Windows)
脆弱性の影響と対策
この脆弱性はシステムにプリインストールされたIMEにも存在するとされる。そのため、オペレーティングシステムの更新も重要となる。Citizen Labはこの脆弱性の影響を回避するため、ユーザーに次のような対策を推奨している。
- HonorのプリインストールIME(Baidu IME Honor Version)およびQQ Pinyin IMEのユーザーは速やかに他のIMEへ乗り換える。これらIMEはセキュリティ脆弱性を修正する方法がないか、または修正パッチ提供の見込みがない
- Sogou、Baidu、iFlytekのIMEを利用しているユーザーはIMEおよびオペレーティングシステムを最新版に更新する
- BaiduのIMEを利用しているユーザーは他のIMEへ乗り換えるか、または「クラウドベース(cloud-based)」機能を無効にする
- プライバシー保護を重要視するユーザーはキーボードおよびIMEの「クラウドベース(cloud-based)」機能を無効にする
- プライバシー保護を重要視するiOSユーザーはキーボードやIMEの「フルアクセス」を有効にしない
今回発見された脆弱性は主に中国企業の製品に存在する。そのため、脆弱性を修正しても中国政府による情報収集および監視は回避できない可能性があると指摘されている。Citizen Labは中国政府による情報収集および監視を回避したいと望むユーザーに対し、クラウド機能を持たないIMEへの乗り換えを推奨している。