Une application de saisie en chinois largement utilisée pour Windows et Android s’est révélée vulnérable à de graves failles de sécurité qui pourraient permettre à un intrus malveillant de déchiffrer le texte saisi par les utilisateurs.
Les conclusions du Citizen Lab de l’Université de Toronto, qui a effectué une analyse du mécanisme de cryptage utilisé dans Méthode de saisie Sogou de Tencentune application qui compte plus de 455 millions d’utilisateurs actifs par mois sur Windows, Android et iOS.
Les vulnérabilités sont enracinées dans EncryptWall, le système de chiffrement personnalisé du service, permettant aux indiscrets du réseau d’extraire le contenu textuel et d’accéder aux données sensibles.
« Les versions Windows et Android de Sogou Input Method contiennent des vulnérabilités dans ce système de cryptage, y compris une vulnérabilité à une attaque oracle de remplissage CBC, qui permet aux écoutes clandestines du réseau de récupérer le texte en clair des transmissions réseau cryptées, révélant des informations sensibles, y compris ce que les utilisateurs ont tapé » ont déclaré les chercheurs.
CBC, abréviation de chaînage de blocs de chiffrement, est un mode d’opération cryptographique dans lequel chaque bloc de texte en clair est XOR avec le bloc de texte chiffré précédent avant d’être chiffré.
Étant donné qu’un chiffrement par bloc fonctionne sur des blocs de texte en clair de taille fixe, une attaque oracle de remplissage pourrait être utilisée pour divulguer des données indiquant si le texte chiffré reçu, une fois déchiffré, a un remplissage valide. Ce faisant, un pirate pourrait déchiffrer un message sans connaître la clé de chiffrement.
Fait intéressant, la version iOS de la méthode d’entrée Sogou s’est avérée sécurisée contre l’écoute clandestine du réseau, même si elle « aurait été la plus vulnérable » en raison d’un deuxième défaut dans l’implémentation d’EncryptWall dans lequel la première moitié de la clé de chiffrement pouvait être trivialement récupérée.
Il convient de noter que la portée des problèmes ne se limite pas aux écrivains chinois en Chine. Les statistiques de SimilarWeb montrent que les visites sur le site Web de l’application – shurufa.sogou[.]com – viennent également des États-Unis, de Taïwan, de Hong Kong et du Japon.
Suite à une divulgation responsable en mai et juin 2023, le problème a été résolu par Tencent dans les versions 13.7 (Windows), 11.26 (Android) et 11.25 (iOS) à la fin du mois dernier.
« Cette vulnérabilité aurait pu être facilement évitée, au lieu d’utiliser la cryptographie » homebrew « , en adoptant TLS, un protocole cryptographique commun et mature avec une disponibilité omniprésente et un support à jour », ont déclaré les chercheurs Jeffrey Knockel, Zoë Reichert et Mona Wang. .
« Bien qu’aucun protocole cryptographique ne soit parfait, les implémentations TLS avaient déjà amélioré la vulnérabilité aux attaques oracle de remplissage CBC en 2003. »
