こんにちは!山崎光春です。
## 中国の主要キーボードアプリに深刻な脆弱性
カナダのトロント大学に拠点を置く研究機関「Citizen Lab」は、中国で広く利用されているクラウドベースのキーボードアプリに関する最新の調査報告を公開した。報告書によると、中国の主要ベンダー9社のうち8社のキーボードアプリに、ユーザーの入力内容(キーストローク)が盗まれる恐れのある脆弱性が確認されたという。[1]
この脆弱性は、ピンイン(ローマ字)入力に対応したクラウドベースの予測変換機能に起因する。入力した文字列をクラウドサーバに送信し、変換候補を取得するこの機能において、通信が十分な暗号化なしに行われていたため、悪意ある第三者に盗聴される危険性があることが判明した。[1]
影響を受けるのは、中国のスマートフォン市場の約50%を占めるHonor、OPPO、Xiaomiなどの端末に搭載された標準キーボードアプリで、推定で約10億人のユーザーに及ぶ。[1]
Citizen Labは脆弱性を発見した8社に通知し、ほとんどのベンダーから真摯な対応があったものの、一部のアプリでは脆弱性が残っている可能性があると指摘している。[1]
## 中国のテクノロジー企業の情報セキュリティ意識の課題
この調査結果は、中国のテクノロジー企業における情報セキュリティ意識の低さを浮き彫りにした。クラウドベースのキーボードアプリは、ユーザーの入力内容を扱う上で極めて機密性が高いにもかかわらず、通信の暗号化が不十分であったことは重大な問題である。[1]
ユーザープライバシーの保護は、テクノロジー企業にとって最重要課題の一つであり、この種の脆弱性は看過できない。中国企業は、製品の機能性やユーザー体験に注力する一方で、セキュリティ面での配慮が不足していたことがうかがえる。[1]
今後、中国のテクノロジー企業は、製品開発においてセキュリティを最優先事項と位置付け、ユーザープライバシーを十分に保護する必要がある。そうでなければ、ユーザーの信頼を失い、ビジネスに深刻な影響を及ぼしかねない。[1]
Citations:
[1] https://www.citizenlab.co
[2] https://citizenlab.ca/2024/04/vulnerabilities-across-keyboard-apps-reveal-keystrokes-to-network-eavesdroppers/
[3] https://www.lmu.de/en/newsroom/news-overview/news/citizen-science-the-knowledge-of-many-minds.html
[4] https://citizenlab.ca/2021/07/hooking-candiru-another-mercenary-spyware-vendor-comes-into-focus/
[5] https://stlouis.citizenlab.co/projects/rams-settlement