{"id":28905,"date":"2024-05-28T12:25:07","date_gmt":"2024-05-28T10:25:07","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=28905"},"modified":"2024-05-29T09:55:41","modified_gmt":"2024-05-29T07:55:41","slug":"prevent-android-keylogging-and-ime-spying","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/prevent-android-keylogging-and-ime-spying\/28905\/","title":{"rendered":"Cosa dice la tua tastiera Android agli sconosciuti?"},"content":{"rendered":"

\u201cGli hacker possono spiare ogni sequenza di tasti degli smartphone Honor, OPPO, Samsung, Vivo e Xiaomi su Internet\u201d: nelle ultime settimane, nei media circolano allarmanti titoli di questo genere. All\u2019origine di questi titoli c\u2019\u00e8 uno studio piuttosto serio sulle vulnerabilit\u00e0 nel criptaggio del traffico da tastiera<\/a>. Aggressori in grado di osservare il traffico di rete, ad esempio attraverso un router domestico compromesso<\/a>, possono infatti intercettare le sequenze di tasti e scoprire le tue password e i tuoi segreti. Ma non precipitarti a cambiare il tuo Android con un iPhone: il problema riguarda solo l\u2019immissione in lingua cinese con il sistema pinyin e solo con la funzione \u201cprevisione cloud\u201d abilitata. Abbiamo comunque pensato che valesse la pena indagare sulla situazione con altre lingue e tastiere di altri produttori.<\/p>\n

Perch\u00e9 molte tastiere pinyin sono vulnerabili alle intercettazioni?<\/h2>\n

Il sistema di scrittura pinyin<\/a>, noto anche come alfabeto fonetico cinese, aiuta a scrivere parole cinesi tramite input in alfabeto latino e segni diacritici. \u00c8 il sistema ufficiale per la trascrizione in caratteri latini della lingua cinese, adottato anche dall\u2019ONU. Scrivere i caratteri cinesi su uno smartphone \u00e8 piuttosto scomodo, il che rende il metodo di immissione pinyin molto popolare: secondo alcune stime \u00e8 utilizzato da oltre un miliardo di persone. A differenza di molte altre lingue, la previsione delle parole per il cinese, specialmente in pinyin, \u00e8 un\u2019attivit\u00e0 computazionalmente complessa, difficile da implementare direttamente su uno smartphone. Pertanto, quasi tutte le tastiere (o pi\u00f9 precisamente i metodi di input, chiamati IME) utilizzano la \u201cprevisione cloud\u201d, cio\u00e8 inviano istantaneamente i caratteri pinyin immessi dall\u2019utente a un server e ricevono suggerimenti per il completamento delle parole. Talvolta la funzione \u201ccloud\u201d \u00e8 disattivabile, ma a scapito della velocit\u00e0 e della qualit\u00e0 dell\u2019input.<\/p>\n

\"Per

Per prevedere il testo immesso in pinyin, la tastiera invia i dati al server<\/p><\/div>\n

Naturalmente, tutti i caratteri digitati sono accessibili agli sviluppatori della tastiera grazie al sistema di \u201cprevisione cloud\u201d. Ma non \u00e8 tutto. Lo scambio di dati carattere per carattere richiede un criptaggio speciale, che molti sviluppatori non sanno implementare correttamente. Di conseguenza, tutte le sequenze di tasti e le previsioni corrispondenti possono essere facilmente decriptate da estranei.<\/p>\n

L\u2019articolo originale<\/a> illustra i dettagli su ciascuno degli errori rilevati; nel complesso, possiamo rilevare che delle nove tastiere analizzate, solo l\u2019IME pinyin negli smartphone Huawei ha implementato correttamente il criptaggio TLS e ha resistito agli attacchi. Discorso diverso per gli IME di Baidu, Honor, iFlytek, OPPO, Samsung, Tencent, Vivo e Xiaomi, risultati vulnerabili a vari livelli; inoltre la tastiera pinyin standard di Honor (Baidu 3.1) e il pinyin QQ non hanno ricevuto aggiornamenti nemmeno dopo che i ricercatori hanno contattato gli sviluppatori. Si consiglia agli utenti pinyin di aggiornare il proprio IME alla versione pi\u00f9 recente e, in mancanza di aggiornamenti, di scaricare un IME pinyin diverso.<\/p>\n

Ci sono altre tastiere che inviano sequenze di tasti?<\/h2>\n

Non c\u2019\u00e8 una vera esigenza tecnica in questo senso. Per la maggior parte delle lingue, il completamento di parole e frasi pu\u00f2 essere previsto direttamente nel dispositivo, quindi le tastiere pi\u00f9 diffuse non richiedono il trasferimento dei dati carattere per carattere. I dati sul testo immesso, per\u00f2, possono essere inviati al server per la sincronizzazione del dizionario personale tra i dispositivi, per l\u2019apprendimento automatico o per altri scopi non direttamente correlati alla funzione primaria della tastiera, come l\u2019analisi della pubblicit\u00e0.<\/p>\n

Archiviare tali dati nei server di Google e Microsoft \u00e8 una questione di scelta personale, ma difficilmente troveremo qualcuno interessato a condividerli con estranei. Almeno uno di questi casi \u00e8 salito alle cronache nel 2016, quando si \u00e8 scoperto che la tastiera SwiftKey prevedeva gli indirizzi e-mail<\/a> e altre voci del dizionario personale di altri utenti. Microsoft ha poi temporaneamente disabilitato il servizio di sincronizzazione, presumibilmente per correggere gli errori. Se non desideri che il tuo dizionario personale venga archiviato nei server Microsoft, non creare un account SwiftKey e, se ne hai gi\u00e0 uno, disattivalo ed elimina i dati archiviati nel cloud seguendo queste istruzioni<\/a>.<\/p>\n

Non sono stati registrati altri casi pubblicamente noti di fughe di testo digitato. La ricerca ha per\u00f2 dimostrato che le tastiere pi\u00f9 diffuse monitorano attivamente i metadati durante la digitazione. Ad esempio, Gboard di Google e SwiftKey di Microsoft inviano dati su ogni parola inserita<\/a>: lingua, lunghezza della parola, ora esatta di immissione e app in cui \u00e8 stata inserita la parola. SwiftKey invia anche statistiche sullo sforzo risparmiato: quante parole sono state digitate per intero, quante sono state previste automaticamente e quante sono state consultate. Considerato che entrambe le tastiere inviano l\u2019ID pubblicitario univoco dell\u2019utente alla \u201csede centrale\u201d, ci\u00f2 crea ampie opportunit\u00e0 di profilazione: ad esempio, diventa possibile determinare quali utenti stanno corrispondendo tra loro in qualsiasi<\/strong> messenger.<\/p>\n

Stando all\u2019informativa sulla privacy, se crei un account SwiftKey e non disabiliti l\u2019opzione \u201cHelp Microsoft improve\u201d, \u00e8 possibile che \u201cpiccoli campioni\u201d di testo digitato vengano inviati al server. Il funzionamento e le dimensioni di questi \u201cpiccoli campioni\u201d non sono noti.<\/p>\n

\""Help

\u201cHelp Microsoft improve\u201d\u2026 cio\u00e8? Raccogliendo i tuoi dati?[\/Alt-title-Caption]
Google consente di disabilitare l\u2019opzione \u201cShare Usage Statistics\u201d in Gboard, che riduce notevolmente la quantit\u00e0 di informazioni trasmesse escludendo le lunghezze delle parole e le app in cui \u00e8 stata utilizzata la tastiera.<\/p><\/div>\n

\"La

La disattivazione dell\u2019opzione \u201cShare Usage Statistics\u201d in Gboard riduce notevolmente la quantit\u00e0 di informazioni raccolte<\/p><\/div>\n

In termini di criptaggio, lo scambio di dati in Gboard e SwiftKey non ha sollevato preoccupazioni tra i ricercatori, poich\u00e9 entrambe le app si basano sull\u2019implementazione standard TLS nel sistema operativo e sono resistenti ai comuni attacchi di criptaggio. Pertanto, l\u2019intercettazione del traffico in queste app \u00e8 improbabile.<\/p>\n

Oltre a Gboard e SwiftKey, gli autori hanno analizzato anche la popolare app AnySoftKeyboard. \u00c8 stata all\u2019altezza della sua reputazione di tastiera per irriducibili della privacy, senza nessun invio di telemetria ai server.<\/p>\n

\u00c8 possibile che password e altri dati riservati trapelino da uno smartphone?<\/h2>\n

Non \u00e8 necessaria una tastiera per intercettare i dati sensibili. Ad esempio, TikTok monitora tutti i dati<\/a> copiati negli appunti, anche se questa funzione non sembra necessaria in un social network. I malware su Android spesso attivano funzioni di accessibilit\u00e0 e diritti di amministratore<\/a> sugli smartphone per acquisire dati dai campi di input e direttamente dai file delle app \u201cinteressanti\u201d.<\/p>\n

D\u2019altra parte, una tastiera Android pu\u00f2 \u201cperdere\u201d altri dati oltre al testo digitato. Ad esempio, la tastiera AI.Type ha causato una fuga di dati per 31 milioni di utenti<\/a>. Per qualche motivo, ha raccolto dati come numeri di telefono, geolocalizzazioni esatte e persino i contenuti delle rubriche.<\/p>\n

Come proteggersi dallo spionaggio della tastiera e dei campi di immissione<\/h2>\n