八大主流中文手机输入法曝出泄密漏洞,仅华为幸免
近日,隐私研究机构citizenlab发布安全报告显示,除华为以外的八家厂商的手机云输入法应用均存在严重漏洞,黑客可利用这些漏洞完全窃取用户输入内容,目前已有超10亿用户面临泄密风险。
与此同时,Citizenlab表示已经向上述八家存在漏洞的手机输入法厂商报告了漏洞,大多数厂商做出了积极回应,严肃对待问题并修复了报告的漏洞,但仍有一些键盘应用程序存在漏洞。Citizenlab在报告中警告说,五眼联盟情报机构此前曾利用类似的中文输入法安全漏洞实施大规模监控。
云输入法安全危机
随着用户规模的不断增长,云输入法应用的后端技术正变得越来越复杂,人们对此类应用的潜在安全风险也越来越重视。安全研究人员对云输入法应用安全最关注的问题主要有两点:
l 用户数据在云服务器上是否安全
l 信息从用户设备传输到云服务器的过程中是否安全
为了更好地了解这些厂商的键盘应用是否安全地实现了其云推荐功能,研究者对这些输入法进行了安全分析以确定它们是否充分加密了用户的输入按键记录。
研究者使用了静态和动态分析方法:使用jadx反编译并静态分析Dalvik字节码,并使用IDAPro反编译并静态分析本机机器码;使用frida动态分析Android和iOS版本,并使用IDAPro动态分析Windows版本。最后,研究者使用Wireshark和mitmproxy执行网络流量捕获和分析。
对九家厂商的输入法进行分析后,研究者发现只有一家厂商(华为)的输入法应用在传输用户按键记录时未发现任何安全问题。其余八家厂商的每一家至少有一款应用发现了漏洞,黑客可以利用该漏洞完全窃取用户输入的内容。
在大多数情况下,攻击者只需要是网络上的被动窃听者即可利用这些漏洞。但是,在某种情况下,针对使用腾讯搜狗API的应用,攻击者还需要能够向云服务器发送网络流量,但他们不必一定是中间人(MitM)或在网络第3层欺骗来自用户的流量。在所有情况下,攻击者都必须能够访问客户端软件的副本。
由于苹果和谷歌的键盘输入法应用都没有将按键记录传输到云服务器以进行云推荐,因此没有(也无法)分析这些键盘的安全功能。
研究者表示,虽然业界一直在推动开发能够保密用户数据的隐私感知云输入法,但目前并未得到广泛使用。
隐私专家的建议
输入法安全漏洞可导致个人财务信息、登录账号和隐私泄露。隐私专家建议手机用户应保持应用程序和操作系统更新到最新版本。如果用户担心云输入法的隐私问题,建议考虑切换到完全在设备上运行的本地输入法应用(模式)。
最近更新
-
中标|亿达科创携手兴业消费金融探索数字化转型路径
理财 · 11:11
-
43岁大龄求子,杨传英主任一养一疏,顺利怀上!
理财 · 10:33
-
卵巢早衰就是肝上火了,哈虹主任:只知道吃黄体酮太傻了
理财 · 10:33
-
技术领军AI赋能东软荣获2024IT市场年会多项大奖
科技 · 10:10
- 市场短期有望震荡上扬,机构推荐高股息等主线(附5月金股)
- 全球首个最大单线产能——云南通威20万吨高纯晶硅项目一次性开车成功
- A股五月“开门红”
- 不卷低价卷“性价比”:京东采销的竞争谋局
- 节后两市反弹,红利资产同步上行,中证红利ETF(515080)半日收涨0.79%!机构:5月哑铃策略依然有效
- 金融行业零信任标杆!奇安信中标某大型国有银行项目
- 首个应对反催收规范性文件落地:机构可不受理异常维权
- 中金快讯|中金公司助力西安城发集团发行首单实验室经济主题科技创新公司债券
- “五一”出游全面赶超2019年,锦江酒店放量涨超4%
- 吉利已经不再依赖沃尔沃
专栏推荐
-
研选
浓缩机构研究精华,提前捕捉市场风口
2027人已购
¥258.00/月
-
尾盘擒牛之如何选股?
学完这些方法,告别选股难!
117人已购
¥288.00/月
-
财报拆解
知识点解读+实战案例,帮你5小时学会看财报
73人已购
¥19.90/月
-
每周一股
每周日定期更新【每周一股】,为广大的投资者精选下周短线个股!
341人已购
¥588.00/月