Das enorme Ausmaß des Problems wird durch die Tatsache verschärft, dass diese Schwachstellen nicht schwer auszunutzen sind. „Man braucht keine riesigen Supercomputer, die Zahlen verarbeiten, um das zu knacken. „Man muss keine Terabytes an Daten sammeln, um es zu knacken“, sagt Knockel. „Wenn Sie nur eine Person sind, die eine andere Person über Ihr WLAN angreifen möchte, können Sie dies tun, sobald Sie die Sicherheitslücke verstanden haben.“
Die einfache Ausnutzung der Schwachstellen und der enorme Vorteil – alles zu wissen, was eine Person eingibt, möglicherweise auch Passwörter für Bankkonten oder vertrauliche Materialien – legen nahe, dass sie wahrscheinlich bereits von Hackern ausgenutzt wurden, sagen die Forscher. Dafür gibt es jedoch keine Beweise, obwohl staatliche Hacker, die für westliche Regierungen arbeiteten, 2011 eine ähnliche Lücke in einer chinesischen Browser-App ausnutzten.
Die meisten der in diesem Bericht gefundenen Lücken liegen „so weit hinter modernen Best Practices zurück“, dass es sehr einfach ist, die Eingaben der Leute zu entschlüsseln, sagt Jedidiah Crandall, außerordentliche Professorin für Sicherheit und Kryptographie an der Arizona State University, die bei dem Schreiben konsultiert wurde dieses Berichts. Da es keinen großen Aufwand erfordert, die Nachrichten zu entschlüsseln, können solche Schlupflöcher ein großartiges Ziel für die groß angelegte Überwachung großer Gruppen sein, sagt er.
Nachdem die Forscher Kontakt zu Unternehmen aufgenommen hatten, die diese Tastatur-Apps entwickelten, konnten die meisten Lücken behoben werden. Einige Unternehmen reagierten jedoch nicht und die Sicherheitslücke besteht immer noch in einigen Apps und Telefonen, darunter QQ Pinyin und Baidu, sowie in allen Tastatur-Apps, die nicht auf die neueste Version aktualisiert wurden. Baidu, Tencent, iFlytek und Samsung antworteten nicht sofort auf Presseanfragen von MIT Technology Review.
Eine mögliche Ursache für die Allgegenwart der Lücken ist, dass die meisten dieser Tastatur-Apps in den 2000er Jahren entwickelt wurden, bevor das TLS-Protokoll allgemein in der Softwareentwicklung übernommen wurde. Obwohl die Apps seitdem zahlreiche Aktualisierungsrunden durchlaufen haben, hätte Trägheit die Entwickler davon abhalten können, eine sicherere Alternative zu übernehmen.
Der Bericht weist darauf hin, dass Sprachbarrieren und unterschiedliche Technologie-Ökosysteme englisch- und chinesischsprachige Sicherheitsforscher daran hindern, Informationen auszutauschen, die solche Probleme schneller beheben könnten. Da beispielsweise der Play Store von Google in China gesperrt ist, sind die meisten chinesischen Apps nicht bei Google Play verfügbar, wo westliche Forscher häufig nach Apps suchen, um sie zu analysieren.
Manchmal ist nur ein kleiner zusätzlicher Aufwand erforderlich. Nachdem zwei E-Mails zu diesem Problem an iFlytek nicht beantwortet wurden, änderten die Citizen Lab-Forscher den E-Mail-Titel in Chinesisch und fügten dem englischen Text eine einzeilige Zusammenfassung auf Chinesisch hinzu. Nur drei Tage später erhielten sie eine E-Mail von iFlytek, in der stand, dass das Problem behoben sei.