中国語IMEに通信データ漏洩の脆弱性、更新または乗り換えを推奨
マイナビニュース2024年5月1日(水)7時52分
Citizen Labはこのほど、「The not-so-silent type: Vulnerabilities across keyboard apps reveal keystrokes to network eavesdroppers - The Citizen Lab」において、複数のIME(Input Method Editor)に脆弱性が存在すると伝えた。この脆弱性を悪用されると、入力したデータを攻撃者に窃取される可能性がある。
○IMEの脆弱性の概要
発見された脆弱性はIMEとクラウドサーバ間の通信暗号化に存在するとされる。不十分な暗号化により、通信を傍受できる攻撃者にキーストロークを窃取、または推測される可能性がある。なお、調査の対象となったIMEは中国語向けの製品とされ、他の言語向け製品については評価されていないが、同じベンダーの場合は同様の脆弱性を持つ可能性がある。
○脆弱性の影響を受ける製品
脆弱性が存在するとされる製品は次のとおり。
Baidu IME / 百度输入法
Baidu IME Custom Version / 百度输入法定制版
Baidu IME Honor Version / 百度输入法荣耀版
Baidu IME Xiaomi Version / 百度输入法小米版
iFlytek IME / 讯飞输入法 (Android)
iFlytek IME Xiaomi Version / 讯飞输入法小米版
Sogou IME / 搜狗输入法 (Android、Windows)
Sogou IME Xiaomi Version / 搜狗输入法小米版
Sogou IME Custom Version / 搜狗输入法定制版
Samsung Keyboard
QQ Pinyin IME / QQ拼音输入法 (Android、Windows)
○脆弱性の影響と対策
この脆弱性はシステムにプリインストールされたIMEにも存在するとされる。そのため、オペレーティングシステムの更新も重要となる。Citizen Labはこの脆弱性の影響を回避するため、ユーザーに次のような対策を推奨している。
HonorのプリインストールIME(Baidu IME Honor Version)およびQQ Pinyin IMEのユーザーは速やかに他のIMEへ乗り換える。これらIMEはセキュリティ脆弱性を修正する方法がないか、または修正パッチ提供の見込みがない
Sogou、Baidu、iFlytekのIMEを利用しているユーザーはIMEおよびオペレーティングシステムを最新版に更新する
BaiduのIMEを利用しているユーザーは他のIMEへ乗り換えるか、または「クラウドベース(cloud-based)」機能を無効にする
プライバシー保護を重要視するユーザーはキーボードおよびIMEの「クラウドベース(cloud-based)」機能を無効にする
プライバシー保護を重要視するiOSユーザーはキーボードやIMEの「フルアクセス」を有効にしない
今回発見された脆弱性は主に中国企業の製品に存在する。そのため、脆弱性を修正しても中国政府による情報収集および監視は回避できない可能性があると指摘されている。Citizen Labは中国政府による情報収集および監視を回避したいと望むユーザーに対し、クラウド機能を持たないIMEへの乗り換えを推奨している。
○IMEの脆弱性の概要
発見された脆弱性はIMEとクラウドサーバ間の通信暗号化に存在するとされる。不十分な暗号化により、通信を傍受できる攻撃者にキーストロークを窃取、または推測される可能性がある。なお、調査の対象となったIMEは中国語向けの製品とされ、他の言語向け製品については評価されていないが、同じベンダーの場合は同様の脆弱性を持つ可能性がある。
○脆弱性の影響を受ける製品
脆弱性が存在するとされる製品は次のとおり。
Baidu IME / 百度输入法
Baidu IME Custom Version / 百度输入法定制版
Baidu IME Honor Version / 百度输入法荣耀版
Baidu IME Xiaomi Version / 百度输入法小米版
iFlytek IME / 讯飞输入法 (Android)
iFlytek IME Xiaomi Version / 讯飞输入法小米版
Sogou IME / 搜狗输入法 (Android、Windows)
Sogou IME Xiaomi Version / 搜狗输入法小米版
Sogou IME Custom Version / 搜狗输入法定制版
Samsung Keyboard
QQ Pinyin IME / QQ拼音输入法 (Android、Windows)
○脆弱性の影響と対策
この脆弱性はシステムにプリインストールされたIMEにも存在するとされる。そのため、オペレーティングシステムの更新も重要となる。Citizen Labはこの脆弱性の影響を回避するため、ユーザーに次のような対策を推奨している。
HonorのプリインストールIME(Baidu IME Honor Version)およびQQ Pinyin IMEのユーザーは速やかに他のIMEへ乗り換える。これらIMEはセキュリティ脆弱性を修正する方法がないか、または修正パッチ提供の見込みがない
Sogou、Baidu、iFlytekのIMEを利用しているユーザーはIMEおよびオペレーティングシステムを最新版に更新する
BaiduのIMEを利用しているユーザーは他のIMEへ乗り換えるか、または「クラウドベース(cloud-based)」機能を無効にする
プライバシー保護を重要視するユーザーはキーボードおよびIMEの「クラウドベース(cloud-based)」機能を無効にする
プライバシー保護を重要視するiOSユーザーはキーボードやIMEの「フルアクセス」を有効にしない
今回発見された脆弱性は主に中国企業の製品に存在する。そのため、脆弱性を修正しても中国政府による情報収集および監視は回避できない可能性があると指摘されている。Citizen Labは中国政府による情報収集および監視を回避したいと望むユーザーに対し、クラウド機能を持たないIMEへの乗り換えを推奨している。
「脆弱性」をもっと詳しく
「脆弱性」のニュース
-
情報漏洩の80%はActive Directoryが原因、4,000万件超の脆弱性を分析6月13日9時35分
-
人気ある生体認証デバイスに脆弱性、細工したQRコードで認証可能6月13日8時51分
-
中国が支援するサイバー攻撃、FortiGateの脆弱性を悪用して2万台超を侵害6月13日7時28分
-
クラウドストレージ脆弱性診断提供開始のお知らせ6月12日17時46分
-
Microsoft、2024年6月の月例更新 - 49件の脆弱性への対応が行われる6月12日16時9分
-
Microsoft、脆弱性修正する6月の累積更新プログラムを配信開始6月12日12時10分
-
脆弱性管理クラウド「yamory」 「AWS Summit Japan」出展および登壇のお知らせ6月12日11時16分
-
バグバウンティプラットフォーム「IssueHunt」等を提供するIssueHunt株式会社、学生のためのサイバーセキュリティカンファレンス「P3NFEST」第二回開催のお知らせ6月12日11時16分
-
Pixelに6月のセキュリティ更新 「悪用を受けている可能性」のある脆弱性を含む50件に対処6月12日11時7分
-
ThinkPHPの古い脆弱性を悪用したサイバー攻撃を確認、注意を6月12日9時23分