敲敲打打 一系列云端输入法漏洞使网络攻击者得以监看个人用户的输入内容
Jeffrey Knockel, Mona Wang, and Zoë Reichert - The Citizen Lab
April 23, 2024
简体中文摘要
完整版报告(英文)
重要:我们建议所有用户立即更新所使用的输入法软件以及操作系统。并建议高风险用户停止使用任何输入法提供的云端建议功能,改为完全离线的输入法,以避免数据外泄。
重要发现
我们分析了常见云端拼音输入法的安全性,包含百度、荣耀、华为、讯飞、OPPO、三星、腾讯等九家厂商,并分析了它们发送用户输入内容到云端的过程是否含有安全缺陷。
分析结果指出,九家厂商中,有八家输入法软件包含严重漏洞,使我们得以完整破解厂商设计用于保护用户输入内容的加密法。亦有部分厂商并未使用任何加密法保护用户输入内容。
综合本研究和我们先前研究中发现的搜狗输入法漏洞,我们估计至多有十亿用户受到这些漏洞影响。基于下述原因,我们认为用户输入的内容可能已经遭到大规模收集:
这些漏洞影响了广泛的用户群体
用户在键盘中输入的信息极为敏感
发现这些漏洞不需要高深技术
五眼联盟过去曾利用中国应用程序中类似的漏洞施行监控
我们已向受影响的九家开发商提交这些漏洞,大部分开发商均认真看待问题并予以回应,修补了漏洞,但仍有少数输入法未修补漏洞。
在报告的末尾,我们为受漏洞影响的各方提供了综合建议,期待这些建议可以减少未来类似漏洞所造成的危害。
Jeffrey Knockel, Mona Wang, and Zoë Reichert - The Citizen Lab
April 23, 2024
简体中文摘要
完整版报告(英文)
重要:我们建议所有用户立即更新所使用的输入法软件以及操作系统。并建议高风险用户停止使用任何输入法提供的云端建议功能,改为完全离线的输入法,以避免数据外泄。
重要发现
我们分析了常见云端拼音输入法的安全性,包含百度、荣耀、华为、讯飞、OPPO、三星、腾讯等九家厂商,并分析了它们发送用户输入内容到云端的过程是否含有安全缺陷。
分析结果指出,九家厂商中,有八家输入法软件包含严重漏洞,使我们得以完整破解厂商设计用于保护用户输入内容的加密法。亦有部分厂商并未使用任何加密法保护用户输入内容。
综合本研究和我们先前研究中发现的搜狗输入法漏洞,我们估计至多有十亿用户受到这些漏洞影响。基于下述原因,我们认为用户输入的内容可能已经遭到大规模收集:
这些漏洞影响了广泛的用户群体
用户在键盘中输入的信息极为敏感
发现这些漏洞不需要高深技术
五眼联盟过去曾利用中国应用程序中类似的漏洞施行监控
我们已向受影响的九家开发商提交这些漏洞,大部分开发商均认真看待问题并予以回应,修补了漏洞,但仍有少数输入法未修补漏洞。
在报告的末尾,我们为受漏洞影响的各方提供了综合建议,期待这些建议可以减少未来类似漏洞所造成的危害。