近日，隱私研究機構(gòu)citizenlab發(fā)布安全報告顯示，除華為以外的八家廠商（百度、榮耀、華為、訊飛、OPPO、三星、騰訊、vivo、小米）的手機云輸入法應(yīng)用均存在嚴重漏洞，黑客可利用這些漏洞完全竊取用戶輸入內(nèi)容，或?qū)嵤┚W(wǎng)絡(luò)竊聽。

超10億用戶面臨泄密風(fēng)險

報告指出，僅搜狗、百度和訊飛這三家的輸入法市場份額就占中國第三方輸入法市場的95%以上，用戶數(shù)量約為10億。

除第三方輸入法程序用戶之外，研究者還發(fā)現(xiàn)，來自榮耀、OPPO和小米這三家廠商的設(shè)備預(yù)裝鍵盤輸入法也存在漏洞。2023年，僅榮耀、OPPO和小米三家就占據(jù)了中國智能手機市場份額的近50%。此外，三星和vivo的設(shè)備也捆綁了存在漏洞的鍵盤輸入法，但并不是默認選項。

Citizenlab表示已經(jīng)向上述八家存在漏洞的手機輸入法廠商報告了漏洞，大多數(shù)廠商做出了積極回應(yīng)，嚴肅對待問題并修復(fù)了報告的漏洞，但仍有一些鍵盤應(yīng)用程序存在漏洞。

Citizenlab在報告中警告說，五眼聯(lián)盟情報機構(gòu)此前曾利用類似的中文輸入法安全漏洞實施大規(guī)模監(jiān)控。

云輸入法安全危機

隨著用戶規(guī)模的不斷增長，云輸入法應(yīng)用的后端技術(shù)正變得越來越復(fù)雜，人們對此類應(yīng)用的潛在安全風(fēng)險也越來越重視。安全研究人員對云輸入法應(yīng)用安全最關(guān)注的問題主要有兩點：

• 用戶數(shù)據(jù)在云服務(wù)器上是否安全
• 信息從用戶設(shè)備傳輸?shù)皆品?wù)器的過程中是否安全

研究人員測試了騰訊、百度、訊飛、三星、華為、小米、OPPO、vivo和榮耀輸入法的多個平臺版本（安卓、iOS和Windows版本）。其中騰訊、百度和科大訊飛——是鍵盤輸入法應(yīng)用的開發(fā)者，其余六家——三星、華為、小米、OPPO、vivo和榮耀是手機制造商，它們要么自己開發(fā)了鍵盤輸入法，要么預(yù)裝了上述三個輸入法產(chǎn)品。

為了更好地了解這些廠商的鍵盤應(yīng)用是否安全地實現(xiàn)了其云推薦功能，研究者對這些輸入法進行了安全分析以確定它們是否充分加密了用戶的輸入按鍵記錄。

研究者使用了靜態(tài)和動態(tài)分析方法：使用jadx反編譯并靜態(tài)分析Dalvik字節(jié)碼，并使用IDAPro反編譯并靜態(tài)分析本機機器碼；使用frida動態(tài)分析Android和iOS版本，并使用IDAPro動態(tài)分析Windows版本。最后，研究者使用Wireshark和mitmproxy執(zhí)行網(wǎng)絡(luò)流量捕獲和分析。

對九家廠商的輸入法進行分析后，研究者發(fā)現(xiàn)只有一家廠商（華為）的輸入法應(yīng)用在傳輸用戶按鍵記錄時未發(fā)現(xiàn)任何安全問題。其余八家廠商的每一家至少有一款應(yīng)用發(fā)現(xiàn)了漏洞，黑客可以利用該漏洞完全竊取用戶輸入的內(nèi)容（下圖）：

圖片

在大多數(shù)情況下，攻擊者只需要是網(wǎng)絡(luò)上的被動竊聽者即可利用這些漏洞。但是，在某種情況下，針對使用騰訊搜狗API的應(yīng)用，攻擊者還需要能夠向云服務(wù)器發(fā)送網(wǎng)絡(luò)流量，但他們不必一定是中間人(MitM)或在網(wǎng)絡(luò)第3層欺騙來自用戶的流量。在所有情況下，攻擊者都必須能夠訪問客戶端軟件的副本。

由于蘋果和谷歌的鍵盤輸入法應(yīng)用都沒有將按鍵記錄傳輸?shù)皆品?wù)器以進行云推薦，因此沒有（也無法）分析這些鍵盤的安全功能。

研究者表示，雖然業(yè)界一直在推動開發(fā)能夠保密用戶數(shù)據(jù)的隱私感知云輸入法，但目前并未得到廣泛使用。

隱私專家的建議

輸入法安全漏洞可導(dǎo)致個人財務(wù)信息、登錄賬號和隱私泄露。隱私專家建議手機用戶應(yīng)保持應(yīng)用程序和操作系統(tǒng)更新到最新版本。如果用戶擔(dān)心云輸入法的隱私問題，建議考慮切換到完全在設(shè)備上運行的本地輸入法應(yīng)用（模式）。