Fast jede chinesische Tastatur-App spioniert Nutzer aus

25.04.2024

Mit den Anwendungen können sämtliche Eingaben auf dem Smartphone ohne großen Aufwand abgefangen werden.

Im August vergangenen Jahres haben Sicherheitsforscher*innen schwerwiegende Lücken in der chinesischen Tastatur-App Sogou gefunden - eine der beliebtesten Keyboard-Anwendungen für chinesische Nutzer*innen. Diese App hatte damals nicht einmal das kryptografische TLS-Protokoll (Transport Layer Security) integriert, wenn Daten in die Cloud übertragen werden.

Dieser Zufallsfund veranlasste die Forscher*innen einen genaueren Blick auf chinesische Tastatur-Apps zu werfen. Das Ergebnis war schockierend: In nahezu all diesen Anwendungen klaffen riesige Sicherheitslücken. Für Angreifer*innen sei es extrem einfach, alles was getippt wird abzufangen, so das Fazit.

➤ Mehr lesen: VW war jahrelang Opfer von großangelegter Industriespionage

Leicht auszuspionieren

Damit chinesische Schriftzeichen effizient auf einem Smartphone getippt werden können, bieten zahlreiche App-Hersteller entsprechende Tastatur-Anwendungen. In westlichen Ländern sind diese daher kaum in Gebrauch. Auch weil der Google-Play-Store in China nicht verfügbar ist, treten diese Anwendungen hierzulande kaum in Erscheinung.

In China aber nutzen natürlich alle Smartphone-User*innen solche Apps. Selbst die Tastaturen der großen chinesischen Tech-Konzerne Baidu, Tencent und iFlytek haben derart schwerwiegende Sicherheitslücken, dass sie sowohl von kleinkriminellen Hacker*innen als auch von staatlichen Akteur*innen leicht ausspioniert werden können.

➤ Mehr lesen: USA fürchten sich vor spionierenden E-Autos aus China

Auch vorinstallierte Keyboards unsicher

Laut den Sicherheitsforscher*innen vom Citizen Lab, das zur University of Toronto gehört, können über die Keyboard-Apps also sämtliche Eingaben am Smartphone von Angreifer*innen ausgelesen werden. Von privaten Chat-Nachrichten, Suchanfragen, Notizen bis zu Passwörtern und Kreditkartendaten sowie Login-Daten für Online-Banking.

Bei den Tastatur-Apps, die von den Herstellern auf ihren Smartphones vorinstalliert sind, sieht es nicht besser aus, heißt es vom Citizen Lab. Auch hier würden es die Hersteller nicht schaffen, ihre User*innen vor fremden Zugriffen ausreichend zu schützen. Das einzige Smartphone mit einer sicheren Tastatur-App stammte übrigens von Huawei.