{"id":22635,"date":"2024-06-03T17:19:51","date_gmt":"2024-06-03T20:19:51","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=22635"},"modified":"2024-06-04T10:08:41","modified_gmt":"2024-06-04T13:08:41","slug":"prevent-android-keylogging-and-ime-spying","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/prevent-android-keylogging-and-ime-spying\/22635\/","title":{"rendered":"O que o teclado do Android pode dizer a estranhos?"},"content":{"rendered":"

Manchetes alarmantes como \u201cHackers podem espionar cada toque de tecla dos smartphones Honor, OPPO, Samsung, Vivo e Xiaomi pela Internet\u201d, t\u00eam circulado na m\u00eddia nas \u00faltimas semanas. Sua origem foi um estudo bastante s\u00e9rio sobre vulnerabilidades na criptografia do tr\u00e1fego de teclados<\/a>. Invasores capazes de observar o tr\u00e1fego de rede, por exemplo, por um roteador dom\u00e9stico infectado<\/a>, podem de fato interceptar cada toque de tecla e descobrir todas as suas senhas e segredos. Mas n\u00e3o se apresse em trocar seu Android por um iPhone ainda, pois isso vale apenas para teclados no idioma chin\u00eas no sistema pinyin e somente se o recurso \u201cprevis\u00e3o de nuvem\u201d estiver ativado. No entanto, achamos que seria uma boa ideia investigar a situa\u00e7\u00e3o dos demais idiomas e de teclados de outros fabricantes.<\/p>\n

Por que muitos teclados pinyin s\u00e3o vulner\u00e1veis \u00e0 espionagem<\/h2>\n

O sistema de escrita pinyin<\/a>, tamb\u00e9m conhecido como alfabeto fon\u00e9tico chin\u00eas, ajuda os usu\u00e1rios a escreverem palavras chinesas usando diacr\u00edticos e letras latinas. \u00c9 o sistema de romaniza\u00e7\u00e3o oficial para a l\u00edngua chinesa, adotado pela ONU, entre outros. Desenhar caracteres chineses em um smartphone \u00e9 bastante inconveniente, ent\u00e3o o m\u00e9todo de entrada pinyin \u00e9 muito popular, usado por mais de um bilh\u00e3o de pessoas, segundo algumas estimativas. Ao contr\u00e1rio de muitos outros idiomas, a previs\u00e3o de palavras para chin\u00eas, especialmente no pinyin, \u00e9 dif\u00edcil de implementar diretamente em um smartphone. \u00c9 uma tarefa computacionalmente complexa. Portanto, quase todos os teclados (ou melhor, m\u00e9todos de entrada \u2013 IMEs) usam \u201cprevis\u00e3o de nuvem\u201d, o que significa que eles enviam instantaneamente os caracteres pinyin inseridos pelo usu\u00e1rio para um servidor e recebem em troca sugest\u00f5es de conclus\u00e3o de palavras. \u00c0s vezes, a fun\u00e7\u00e3o \u201cnuvem\u201d pode ser desativada, mas isso reduz a velocidade e a qualidade da entrada em chin\u00eas.<\/p>\n

\"Para<\/a>

Para prever o texto inserido em pinyin, o teclado envia dados ao servidor<\/p><\/div>\n

Obviamente, todos os caracteres que voc\u00ea digitar ficar\u00e3o acess\u00edveis aos desenvolvedores do teclado devido ao sistema de \u201cprevis\u00e3o de nuvem\u201d. Mas isso n\u00e3o \u00e9 tudo! A troca de dados de caractere por caractere requer criptografia especial, que muitos desenvolvedores n\u00e3o conseguem implementar corretamente. Como resultado, todos os toques de teclas e as previs\u00f5es correspondentes podem ser facilmente descriptografados por intrusos.<\/p>\n

Voc\u00ea pode encontrar detalhes sobre cada um dos erros encontrados na fonte original<\/a>, mas no geral, dos nove teclados analisados, apenas o IME do pinyin nos smartphones Huawei implementou corretamente a criptografia TLS e conseguiu evitar os ataques. No entanto, IMEs de Baidu, Honor, iFlytek, OPPO, Samsung, Tencent, Vivo e Xiaomi foram considerados vulner\u00e1veis em v\u00e1rios graus, com o teclado pinyin padr\u00e3o da Honor (Baidu 3.1) e o pinyin da QQ n\u00e3o recebendo atualiza\u00e7\u00f5es mesmo depois que os pesquisadores entraram em contato os desenvolvedores. Os usu\u00e1rios do pinyin s\u00e3o aconselhados a atualizar seu IME para a vers\u00e3o mais recente e, se nenhuma atualiza\u00e7\u00e3o estiver dispon\u00edvel, baixar outro IME do pinyin.<\/p>\n

Outros teclados enviam toques de teclas?<\/h2>\n

N\u00e3o h\u00e1 necessidade t\u00e9cnica direta para isso. Para a maioria dos idiomas, as termina\u00e7\u00f5es de palavras e frases podem ser previstas diretamente no dispositivo, portanto, os teclados populares n\u00e3o exigem transfer\u00eancia de dados caractere por caractere. No entanto, dados sobre o texto inserido podem ser enviados ao servidor para sincroniza\u00e7\u00e3o de dicion\u00e1rio pessoal entre dispositivos, para aprendizado de m\u00e1quina ou para outros fins n\u00e3o diretamente relacionados \u00e0 fun\u00e7\u00e3o principal do teclado, como an\u00e1lise de publicidade.<\/p>\n

Se voc\u00ea deseja que esses dados sejam armazenados nos servidores do Google e da Microsoft, tudo bem, mas \u00e9 improv\u00e1vel que algu\u00e9m esteja interessado em compartilh\u00e1-los com pessoas de fora. Pelo menos um desses incidentes foi divulgado em 2016. Descobriu-se que o teclado SwiftKey estava prevendo endere\u00e7os de e-mail<\/a> e outras entradas de dicion\u00e1rio pessoal de usu\u00e1rios terceiros. Ap\u00f3s o incidente, a Microsoft desativou temporariamente o servi\u00e7o de sincroniza\u00e7\u00e3o, provavelmente para corrigir os erros. Se voc\u00ea n\u00e3o quiser que seu dicion\u00e1rio pessoal seja armazenado nos servidores da Microsoft, n\u00e3o crie uma conta SwiftKey e, caso j\u00e1 tenha uma, desative-a e exclua os dados armazenados na nuvem seguindo estas instru\u00e7\u00f5es<\/a>.<\/p>\n

N\u00e3o houve nenhum outro caso amplamente conhecido de vazamento de textos digitados. No entanto, a pesquisa mostrou que os teclados populares monitoram ativamente os metadados enquanto voc\u00ea digita. Por exemplo, o Gboard do Google e o SwiftKey da Microsoft enviam dados sobre cada palavra inserida<\/a>: idioma, comprimento da palavra, hora exata da entrada e o aplicativo no qual a palavra foi inserida. O SwiftKey tamb\u00e9m envia estat\u00edsticas sobre quanto esfor\u00e7o foi economizado: quantas palavras foram digitadas na \u00edntegra, quantas foram previstas automaticamente e quantas foram ignoradas. Considerando que ambos os teclados enviam o ID de publicidade exclusivo do usu\u00e1rio para a \u201csede\u201d, isso cria uma ampla oportunidade para cria\u00e7\u00e3o de perfil. Por exemplo, torna-se poss\u00edvel determinar quais usu\u00e1rios est\u00e3o se correspondendo entre si em qualquer<\/strong> mensageiro.<\/p>\n

Se voc\u00ea criar uma conta SwiftKey e n\u00e3o desativar a op\u00e7\u00e3o \u201cHelp Microsoft improve\u201d, de acordo com a pol\u00edtica de privacidade, \u201cpequenas amostras\u201d de texto digitado podem ser enviadas ao servidor. Como isso funciona e o tamanho dessas \u201cpequenas amostras\u201d \u00e9 desconhecido.<\/p>\n

<\/a>

\u201cAjude a Microsoft a melhorar\u201d (Help Microsoft improve)\u2026 s\u00e9rio? A coleta dos seus dados?<\/p><\/div>\n

O Google permite que voc\u00ea desative a op\u00e7\u00e3o \u201cShare Usage Statistics\u201d no Gboard, o que reduz significativamente a quantidade de informa\u00e7\u00f5es transmitidas: comprimentos de palavras e aplicativos nos quais o teclado foi usado n\u00e3o s\u00e3o mais coletados.<\/p>\n

Desativar a op\u00e7\u00e3o \"Share Usage Statistics\" no Gboard reduz significativamente a quantidade de informa\u00e7\u00f5es coletadas<\/a>

Desativar a op\u00e7\u00e3o \u201cShare Usage Statistics\u201d no Gboard reduz significativamente a quantidade de informa\u00e7\u00f5es coletadas<\/p><\/div>\n

Em termos de criptografia, a troca de dados no Gboard e no SwiftKey n\u00e3o levantou nenhuma preocupa\u00e7\u00e3o entre os pesquisadores, pois ambos os aplicativos dependem da implementa\u00e7\u00e3o TLS padr\u00e3o no sistema operacional e s\u00e3o resistentes a ataques criptogr\u00e1ficos comuns. Portanto, a intercepta\u00e7\u00e3o de tr\u00e1fego nesses aplicativos \u00e9 improv\u00e1vel.<\/p>\n

Al\u00e9m do Gboard e do SwiftKey, os autores tamb\u00e9m analisaram o popular aplicativo AnySoftKeyboard. Ele fez jus \u00e0 sua reputa\u00e7\u00e3o como um teclado para os obstinados pela privacidade, n\u00e3o enviando nenhuma telemetria aos servidores.<\/p>\n

\u00c9 poss\u00edvel que senhas e outros dados confidenciais vazem de um smartphone?<\/h2>\n

Um aplicativo n\u00e3o precisa ser um teclado para permitir a intercepta\u00e7\u00e3o de dados confidenciais. Por exemplo, o TikTok monitora todos os dados<\/a> copiados para a \u00e1rea de transfer\u00eancia, embora essa fun\u00e7\u00e3o pare\u00e7a desnecess\u00e1ria para uma rede social. Malwares no Android, em geral, ativam recursos de acessibilidade e direitos de administrador<\/a> nos smartphones para capturar dados de campos de entrada e diretamente de arquivos em aplicativos \u201cinteressantes\u201d.<\/p>\n

Por outro lado, um teclado Android pode \u201cvazar\u201d n\u00e3o apenas o texto digitado. Por exemplo, o teclado AI.Type causou o vazamento de dados de 31 milh\u00f5es de usu\u00e1rios<\/a>. Por algum motivo, ele coletou dados como n\u00fameros de telefone, geolocaliza\u00e7\u00f5es exatas e at\u00e9 mesmo o conte\u00fado de cat\u00e1logos de endere\u00e7os.<\/p>\n

Como se proteger da espionagem do teclado e do campo de entrada<\/h2>\n