• Home /

  • /

  • Una popular app china pone en riesgo los datos escritos por los usuarios

Ciberseguridad

Una popular app china pone en riesgo los datos escritos por los usuarios

Investigadores han encontrado una vulnerabilidad en la herramienta por la que los actores de amenazas pueden descifrar el texto escrito.

Periodista

1 minuto

app maliciosa

Investigadores de seguridad del Citizen Lab perteneciente a la Univesidad de Toronto (Canadá) han alertado sobre los agujeros de seguridad de una conocida aplicación móvil de origen chino. 

La herramienta es Sogou Input Method del gigante Tencent y se usa como un software de entrada para el idioma chino para Windows y Android.

Según advierten los investigadores, es vulnerable a graves fallas de seguridad que podrían permitir que un intruso malicioso descifre el texto escrito por los usuarios. 

Las vulnerabilidades tienen su base en EncryptWall, el sistema de cifrado personalizado del servicio que permite a los intrusos de la red extraer el contenido textual y acceder a detalles confidenciales. 

"Las versiones de Windows y Android de Sogou Input Method contienen vulnerabilidades en este sistema de cifrado, incluida una vulnerabilidad a un ataque de oráculo de relleno CBC (encadenamiento de bloques de cifrado), que permite a los espías de la red recuperar el texto sin formato de las transmisiones de red cifradas, revelando información confidencial, incluyendo lo que los usuarios han escrito". explican desde Citizen Lab.

Cientos de millones de usuarios potencialmente afectados

Lo que hace verdaderamente preocupante esta brecha de seguridad es el gran número de personas que la usan. Esta app china cuenta con con más de 455 millones de usuarios activos mensuales en Windows, Android e iOS

La versión para iOS de Sogou Input Method sería segura contra estas irrupciones, aunque "habría sido la más vulnerable" debido a un segundo defecto en la implementación de EncryptWall en el que la primera mitad de la clave de cifrado podría recuperarse de manera trivial, según recoge The Hacker News. 

Tras ser informada sobre el problema Tencent lo corrigió a finales del mes pasado.