Kerentanan aplikasi keyboard ancam keamanan data pengguna
Kebanyakan aplikasi keyboard ini menawarkan fitur prediksi berbasis cloud yang mengirimkan ketukan tombol ke server yang berlokasi di tempat lain.
Sebuah temuan mengejutkan diungkap oleh laboratorium penelitian Citizen Lab, mengidentifikasi kerentanan pada aplikasi keyboard yang digunakan oleh satu miliar pengguna. Kerentanan ini terutama ditemukan pada aplikasi keyboard untuk penulisan karakter Tionghoa dengan sistem pinyin yang populer.
Dikutip dari Phone Arena (29/4), kerentanan ditemukan dalam aplikasi dari sembilan perusahaan terkemuka, termasuk Baidu, Honor, Huawei, iFlytek, OPPO, Samsung, Tencent, Vivo, dan Xiaomi. Analisis dilakukan pada perangkat yang dijual di wilayah Tiongkok. Menurut temuan, aplikasi Samsung Keyboard tidak melakukan enkripsi, dan sebagian besar aplikasi lainnya tidak mengimplementasikan kriptografi asimetris.
Kebanyakan aplikasi keyboard ini menawarkan fitur prediksi berbasis cloud yang mengirimkan ketukan tombol ke server yang berlokasi di tempat lain. Hal ini membuka celah keamanan di mana ketukan tombol dapat diakses oleh pihak ketiga tanpa sepengetahuan pengguna.
Dari seluruh aplikasi keyboard pinyin yang diteliti oleh Citizen Lab, hanya aplikasi milik Huawei yang tidak menunjukkan adanya kerentanan. Kerentanan pada aplikasi lainnya memungkinkan pihak yang tidak bertanggung jawab untuk melihat input dari pengguna. Kerentanan ini berpotensi mengubah keyboard berbasis cloud menjadi alat keylogging.
Menurut penelitian, kerentanan ini bisa dieksploitasi oleh penyadap jaringan pasif tanpa mengganggu saluran komunikasi, membuatnya sulit untuk dideteksi. Fakta ini menambah potensi risiko, karena para pelaku dapat memonitor dan merekam semua ketukan tanpa diketahui oleh pengguna.