除了华为,9款输入法可被黑客利用漏洞
除了华为,9款输入法可被黑客利用漏洞
近日,Citizenlab的研究人员对主流输入法应用进行了安全分析,发现除华为外,包括百度、荣耀、讯飞、OPPO、三星、腾讯、Vivo和小米在内的8家供应商的9款输入法应用存在不同程度的安全隐患。这些漏洞可能导致用户输入的敏感信息被黑客窃取,给用户隐私权带来严重威胁。
据估计,这类漏洞影响了近十亿用户,其中搜狗、百度和讯飞的输入法编辑器占据了很大的市场份额。具体来说,这些漏洞包括:
CBC padding oracle攻击(针对腾讯QQ拼音):攻击者可利用加密模式中的漏洞,从密文中恢复出明文内容。
BAIDUv3.1加密协议错误(针对百度输入法):由于加密协议设计不当,网络窃听者能解密网络数据,获取用户在Windows系统上输入的文本。
传输未充分加密(针对讯飞IME安卓版):应用的网络传输数据未经充分加密,网络窃听者可恢复出明文内容。
明文HTTP传输(针对三星键盘):按键数据通过不加密的HTTP协议传输,任何人都能窃听获取。
预装第三方输入法(针对小米、OPPO、Vivo、荣耀):这些手机厂商预装了存在上述漏洞的第三方输入法应用。
攻击者利用这些漏洞,无需中间人攻击或欺骗网络流量,只需被动窃听网络数据即可获取用户输入的明文内容,从而可能窃取隐私信息。大部分情况下,攻击者需要能访问客户端应用副本。
值得注意的是,华为是唯一一家在其键盘应用程序中未发现任何安全漏洞的供应商。Citizenlab的研究报告提到:"我们分析了华为预装在Mate 50 Pro测试设备上的键盘应用程序。我们在我们分析的华为键盘应用程序版本中,未发现用户按键传输方式存在任何漏洞(参见表7)。具体来说,华为使用TLS来加密每个我们分析的版本中的按键。"
在当前环境下,很多人似乎把便利性置于了更高的优先级。输入法这样的高频应用,用户更看重其高效便捷的体验,对后台的隐私风险则知之甚少。可以说,这种有隐患但便利的产品与服务,与整体上宽松的隐私氛围是相互影响的。一方面,企业和开发者在产品设计时对隐私保护缺乏足够的重视;另一方面,用户群体对隐私问题也意识淡薄,使企业在利益权衡时倾向于追求便利。