スマートフォン向けキーボードアプリの中には、予測変換機能を提供するために入力内容をクラウドに送信するものもあります。トロント大学の研究機関である「Citizen Lab」が中国語のキーボードアプリを分析した結果、9社中8社のアプリにキー入力を傍受できてしまう脆弱(ぜいじゃく)性が含まれていることが明らかになりました。

スマートフォンやPCに搭載されている予測変換機能や予測入力機能は、日本語や英語の場合は基本的にローカルで動作します。一方、中国語向けに開発されているキーボードアプリやIMEでは、予測入力機能の精度向上のために入力内容をクラウドに送信している場合が多いとのこと。しかし、クラウドへの送信機能に脆弱性が存在する場合、入力内容を攻撃者に盗み見られるリスクがあります。そこで、Citizen Labはクラウドを介した予測入力機能を提供しているソフトウェアを分析し、入力内容が盗み取られるリスクを検証しました。

Citizen Labは「Tencent」「Baidu」「iFlytek」「Samsung」「Huawei」「Xiaomi」「OPPO」「Vivo」「Honor」が提供しているAndroidおよびiOS向けのキーボードアプリとWindows向けのIMEを分析しました。その結果、Huaweiをのぞく8社のソフトウェアに入力内容を盗み取られる脆弱性が存在することが明らかになりました。特に、Samsung製のキーボードアプリ「Samsung Keyboard」は入力内容を暗号化せずにクラウドに送信していました。

Citizen Labは、キーボードアプリの脆弱性によって、最大10億人のユーザーが入力内容流出のリスクにさらされていると警告しています。

Citizen Labはすでに問題を各社に通知しており、Baidu以外の7社は問題への対処を完了しているとのこと。BaiduはCitizen Labによる通知の直後に問題の一部を修正しましたが、依然として問題が残っているそうです。

Citizen Labはユーザーに対して以下の対策を呼びかけています。
・キーボードアプリやIMEの「クラウドベースの予測入力機能」を無効化する
・キーボードアプリやIMEのアクセス権限を制限する
・Tencentが2024年第1四半期までの修正を約束しつつも改善されなかった「QQ Pinyin」のユーザーは直ちに使用を中止する
・Honor製デバイスのユーザーは、プリインストールされているBaidu製キーボードアプリの使用を中止する
・キーボードアプリやIMEを最新版へアップデートする
・GoogleやAppleが提供する標準キーボードアプリを使用する