中国語のスマホ標準キーボードアプリでキー入力が盗まれる脆弱性 攻撃対象は“10億人規模”と試算

中国語のスマホ標準キーボードアプリでキー入力が盗まれる脆弱性

　カナダのトロント大学にある研究機関「Citizen Lab」は、中国で広く利用されているキーボードアプリに関する最新の調査報告を公開した。報告書によると、中国の主要なクラウドベースのスマホキーボードアプリに脆弱性が認められたという。この脆弱性が悪用されると、ユーザーが入力した内容（キーストローク）が盗まれる可能性があるとしている。

　今回問題になったのは、中国語の入力方式として主流のピンイン（ローマ字入力）に対応したキーボードアプリだ。これらのアプリの多くは、入力した文字列をクラウドサーバに送信し、変換候補を取得する「クラウドベースの予測変換機能」を備えている。

　しかし今回の調査により、この通信が十分な暗号化なしに行われており、悪意ある第三者によって盗まれる危険性があることが判明した。

　中国のベンダー9社（Baidu、Honor、Huawei、iFlytek、OPPO、Samsung、Tencent、Vivo、Xiaomi）のクラウドベースのAndroid、iOS、Windows向けのピンイン入力アプリを分析し、ユーザーのキーストロークの送信における脆弱性を調査。その結果、Huawei以外の8社のキーボードアプリにこの脆弱性が見つかった。

　特に、中国のスマートフォン市場の50％近くを占めているHonor、OPPO、Xiaomiの端末が搭載する標準のキーボードにも脆弱性が見つかったため、この脆弱性の影響を受けるユーザーは約10億人に上ると推定される。

　Citizen Labは、脆弱性が発見された8社のベンダーに対し、問題を報告。ほとんどのベンダーから返答があり、真摯に問題に取り組み、報告された脆弱性を修正する対応が取られたが、一部のキーボードアプリでは脆弱性がまだ残っている可能性があるという。

　※2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」（シームレス）を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。X： ＠shiropen2