Cosa dice la tua tastiera Android agli sconosciuti?

“Gli hacker possono spiare ogni sequenza di tasti degli smartphone Honor, OPPO, Samsung, Vivo e Xiaomi su Internet”: nelle ultime settimane, nei media circolano allarmanti titoli di questo genere. All’origine di questi titoli c’è uno studio piuttosto serio sulle vulnerabilità nel criptaggio del traffico da tastiera. Aggressori in grado di osservare il traffico di rete, ad esempio attraverso un router domestico compromesso, possono infatti intercettare le sequenze di tasti e scoprire le tue password e i tuoi segreti. Ma non precipitarti a cambiare il tuo Android con un iPhone: il problema riguarda solo l’immissione in lingua cinese con il sistema pinyin e solo con la funzione “previsione cloud” abilitata. Abbiamo comunque pensato che valesse la pena indagare sulla situazione con altre lingue e tastiere di altri produttori.

Perché molte tastiere pinyin sono vulnerabili alle intercettazioni?

Il sistema di scrittura pinyin, noto anche come alfabeto fonetico cinese, aiuta a scrivere parole cinesi tramite input in alfabeto latino e segni diacritici. È il sistema ufficiale per la trascrizione in caratteri latini della lingua cinese, adottato anche dall’ONU. Scrivere i caratteri cinesi su uno smartphone è piuttosto scomodo, il che rende il metodo di immissione pinyin molto popolare: secondo alcune stime è utilizzato da oltre un miliardo di persone. A differenza di molte altre lingue, la previsione delle parole per il cinese, specialmente in pinyin, è un’attività computazionalmente complessa, difficile da implementare direttamente su uno smartphone. Pertanto, quasi tutte le tastiere (o più precisamente i metodi di input, chiamati IME) utilizzano la “previsione cloud”, cioè inviano istantaneamente i caratteri pinyin immessi dall’utente a un server e ricevono suggerimenti per il completamento delle parole. Talvolta la funzione “cloud” è disattivabile, ma a scapito della velocità e della qualità dell’input.

Per prevedere il testo immesso in pinyin, la tastiera invia i dati al server

Naturalmente, tutti i caratteri digitati sono accessibili agli sviluppatori della tastiera grazie al sistema di “previsione cloud”. Ma non è tutto. Lo scambio di dati carattere per carattere richiede un criptaggio speciale, che molti sviluppatori non sanno implementare correttamente. Di conseguenza, tutte le sequenze di tasti e le previsioni corrispondenti possono essere facilmente decriptate da estranei.

L’articolo originale illustra i dettagli su ciascuno degli errori rilevati; nel complesso, possiamo rilevare che delle nove tastiere analizzate, solo l’IME pinyin negli smartphone Huawei ha implementato correttamente il criptaggio TLS e ha resistito agli attacchi. Discorso diverso per gli IME di Baidu, Honor, iFlytek, OPPO, Samsung, Tencent, Vivo e Xiaomi, risultati vulnerabili a vari livelli; inoltre la tastiera pinyin standard di Honor (Baidu 3.1) e il pinyin QQ non hanno ricevuto aggiornamenti nemmeno dopo che i ricercatori hanno contattato gli sviluppatori. Si consiglia agli utenti pinyin di aggiornare il proprio IME alla versione più recente e, in mancanza di aggiornamenti, di scaricare un IME pinyin diverso.

Ci sono altre tastiere che inviano sequenze di tasti?

Non c’è una vera esigenza tecnica in questo senso. Per la maggior parte delle lingue, il completamento di parole e frasi può essere previsto direttamente nel dispositivo, quindi le tastiere più diffuse non richiedono il trasferimento dei dati carattere per carattere. I dati sul testo immesso, però, possono essere inviati al server per la sincronizzazione del dizionario personale tra i dispositivi, per l’apprendimento automatico o per altri scopi non direttamente correlati alla funzione primaria della tastiera, come l’analisi della pubblicità.

Archiviare tali dati nei server di Google e Microsoft è una questione di scelta personale, ma difficilmente troveremo qualcuno interessato a condividerli con estranei. Almeno uno di questi casi è salito alle cronache nel 2016, quando si è scoperto che la tastiera SwiftKey prevedeva gli indirizzi e-mail e altre voci del dizionario personale di altri utenti. Microsoft ha poi temporaneamente disabilitato il servizio di sincronizzazione, presumibilmente per correggere gli errori. Se non desideri che il tuo dizionario personale venga archiviato nei server Microsoft, non creare un account SwiftKey e, se ne hai già uno, disattivalo ed elimina i dati archiviati nel cloud seguendo queste istruzioni.

Non sono stati registrati altri casi pubblicamente noti di fughe di testo digitato. La ricerca ha però dimostrato che le tastiere più diffuse monitorano attivamente i metadati durante la digitazione. Ad esempio, Gboard di Google e SwiftKey di Microsoft inviano dati su ogni parola inserita: lingua, lunghezza della parola, ora esatta di immissione e app in cui è stata inserita la parola. SwiftKey invia anche statistiche sullo sforzo risparmiato: quante parole sono state digitate per intero, quante sono state previste automaticamente e quante sono state consultate. Considerato che entrambe le tastiere inviano l’ID pubblicitario univoco dell’utente alla “sede centrale”, ciò crea ampie opportunità di profilazione: ad esempio, diventa possibile determinare quali utenti stanno corrispondendo tra loro in qualsiasi messenger.

Stando all’informativa sulla privacy, se crei un account SwiftKey e non disabiliti l’opzione “Help Microsoft improve”, è possibile che “piccoli campioni” di testo digitato vengano inviati al server. Il funzionamento e le dimensioni di questi “piccoli campioni” non sono noti.

“Help Microsoft improve”… cioè? Raccogliendo i tuoi dati?[/Alt-title-Caption]
Google consente di disabilitare l’opzione “Share Usage Statistics” in Gboard, che riduce notevolmente la quantità di informazioni trasmesse escludendo le lunghezze delle parole e le app in cui è stata utilizzata la tastiera.

La disattivazione dell’opzione “Share Usage Statistics” in Gboard riduce notevolmente la quantità di informazioni raccolte

In termini di criptaggio, lo scambio di dati in Gboard e SwiftKey non ha sollevato preoccupazioni tra i ricercatori, poiché entrambe le app si basano sull’implementazione standard TLS nel sistema operativo e sono resistenti ai comuni attacchi di criptaggio. Pertanto, l’intercettazione del traffico in queste app è improbabile.

Oltre a Gboard e SwiftKey, gli autori hanno analizzato anche la popolare app AnySoftKeyboard. È stata all’altezza della sua reputazione di tastiera per irriducibili della privacy, senza nessun invio di telemetria ai server.

È possibile che password e altri dati riservati trapelino da uno smartphone?

Non è necessaria una tastiera per intercettare i dati sensibili. Ad esempio, TikTok monitora tutti i dati copiati negli appunti, anche se questa funzione non sembra necessaria in un social network. I malware su Android spesso attivano funzioni di accessibilità e diritti di amministratore sugli smartphone per acquisire dati dai campi di input e direttamente dai file delle app “interessanti”.

D’altra parte, una tastiera Android può “perdere” altri dati oltre al testo digitato. Ad esempio, la tastiera AI.Type ha causato una fuga di dati per 31 milioni di utenti. Per qualche motivo, ha raccolto dati come numeri di telefono, geolocalizzazioni esatte e persino i contenuti delle rubriche.

Come proteggersi dallo spionaggio della tastiera e dei campi di immissione

• Quando possibile, usa una tastiera che non invii dati non necessari al server. Prima di installare una nuova app per tastiera, cerca nel Web informazioni a riguardo: se è stata coinvolta in scandali, verranno visualizzati immediatamente.
• Se sei più preoccupato della comodità della tastiera che della sua privacy (non giudichiamo, la tastiera è importante), apri le impostazioni e disabilita le opzioni di sincronizzazione e trasferimento delle statistiche, ove possibile. Queste opzioni possono comparire sotto varie denominazioni, tra cui “Account”, “Cloud”, “Aiutaci a migliorare” e persino “Donazioni audio”.
• Verifica quali autorizzazioni Android ha bisogno la tastiera e revoca quelle non necessarie. L’accesso ai contatti o alla fotocamera non c’entra assolutamente nulla con una tastiera.
• Installa solo app da fonti attendibili, controlla la reputazione dell’app e, ancora una volta, non concederle autorizzazioni non necessarie.
• Usa una protezione completa per tutti i tuoi smartphone Android e iOS, come Kaspersky Premium