近日，隱私研究機(jī)構(gòu)citizenlab發(fā)布安全報(bào)告顯示，除華為以外的八家廠(chǎng)商（百度、榮耀、華為、訊飛、OPPO、三星、騰訊、vivo、小米）的手機(jī)云輸入法應(yīng)用均存在嚴(yán)重漏洞，黑客可利用這些漏洞完全竊取用戶(hù)輸入內(nèi)容，或?qū)嵤┚W(wǎng)絡(luò)竊聽(tīng)。

超10億用戶(hù)面臨泄密風(fēng)險(xiǎn)

報(bào)告指出，僅搜狗、百度和訊飛這三家的輸入法市場(chǎng)份額就占中國(guó)第三方輸入法市場(chǎng)的95%以上，用戶(hù)數(shù)量約為10億。

除第三方輸入法程序用戶(hù)之外，研究者還發(fā)現(xiàn)，來(lái)自榮耀、OPPO和小米這三家廠(chǎng)商的設(shè)備預(yù)裝鍵盤(pán)輸入法也存在漏洞。2023年，僅榮耀、OPPO和小米三家就占據(jù)了中國(guó)智能手機(jī)市場(chǎng)份額的近50%。此外，三星和vivo的設(shè)備也捆綁了存在漏洞的鍵盤(pán)輸入法，但并不是默認(rèn)選項(xiàng)。

Citizenlab表示已經(jīng)向上述八家存在漏洞的手機(jī)輸入法廠(chǎng)商報(bào)告了漏洞，大多數(shù)廠(chǎng)商做出了積極回應(yīng)，嚴(yán)肅對(duì)待問(wèn)題并修復(fù)了報(bào)告的漏洞，但仍有一些鍵盤(pán)應(yīng)用程序存在漏洞。

Citizenlab在報(bào)告中警告說(shuō)，五眼聯(lián)盟情報(bào)機(jī)構(gòu)此前曾利用類(lèi)似的中文輸入法安全漏洞實(shí)施大規(guī)模監(jiān)控。

云輸入法安全危機(jī)

隨著用戶(hù)規(guī)模的不斷增長(zhǎng)，云輸入法應(yīng)用的后端技術(shù)正變得越來(lái)越復(fù)雜，人們對(duì)此類(lèi)應(yīng)用的潛在安全風(fēng)險(xiǎn)也越來(lái)越重視。安全研究人員對(duì)云輸入法應(yīng)用安全最關(guān)注的問(wèn)題主要有兩點(diǎn)：

• 用戶(hù)數(shù)據(jù)在云服務(wù)器上是否安全
• 信息從用戶(hù)設(shè)備傳輸?shù)皆品?wù)器的過(guò)程中是否安全

研究人員測(cè)試了騰訊、百度、訊飛、三星、華為、小米、OPPO、vivo和榮耀輸入法的多個(gè)平臺(tái)版本（安卓、iOS和Windows版本）。其中騰訊、百度和科大訊飛——是鍵盤(pán)輸入法應(yīng)用的開(kāi)發(fā)者，其余六家——三星、華為、小米、OPPO、vivo和榮耀是手機(jī)制造商，它們要么自己開(kāi)發(fā)了鍵盤(pán)輸入法，要么預(yù)裝了上述三個(gè)輸入法產(chǎn)品。

為了更好地了解這些廠(chǎng)商的鍵盤(pán)應(yīng)用是否安全地實(shí)現(xiàn)了其云推薦功能，研究者對(duì)這些輸入法進(jìn)行了安全分析以確定它們是否充分加密了用戶(hù)的輸入按鍵記錄。

研究者使用了靜態(tài)和動(dòng)態(tài)分析方法：使用jadx反編譯并靜態(tài)分析Dalvik字節(jié)碼，并使用IDAPro反編譯并靜態(tài)分析本機(jī)機(jī)器碼；使用frida動(dòng)態(tài)分析Android和iOS版本，并使用IDAPro動(dòng)態(tài)分析Windows版本。最后，研究者使用Wireshark和mitmproxy執(zhí)行網(wǎng)絡(luò)流量捕獲和分析。

對(duì)九家廠(chǎng)商的輸入法進(jìn)行分析后，研究者發(fā)現(xiàn)只有一家廠(chǎng)商（華為）的輸入法應(yīng)用在傳輸用戶(hù)按鍵記錄時(shí)未發(fā)現(xiàn)任何安全問(wèn)題。其余八家廠(chǎng)商的每一家至少有一款應(yīng)用發(fā)現(xiàn)了漏洞，黑客可以利用該漏洞完全竊取用戶(hù)輸入的內(nèi)容（下圖）：

圖片

在大多數(shù)情況下，攻擊者只需要是網(wǎng)絡(luò)上的被動(dòng)竊聽(tīng)者即可利用這些漏洞。但是，在某種情況下，針對(duì)使用騰訊搜狗API的應(yīng)用，攻擊者還需要能夠向云服務(wù)器發(fā)送網(wǎng)絡(luò)流量，但他們不必一定是中間人(MitM)或在網(wǎng)絡(luò)第3層欺騙來(lái)自用戶(hù)的流量。在所有情況下，攻擊者都必須能夠訪(fǎng)問(wèn)客戶(hù)端軟件的副本。

由于蘋(píng)果和谷歌的鍵盤(pán)輸入法應(yīng)用都沒(méi)有將按鍵記錄傳輸?shù)皆品?wù)器以進(jìn)行云推薦，因此沒(méi)有（也無(wú)法）分析這些鍵盤(pán)的安全功能。

研究者表示，雖然業(yè)界一直在推動(dòng)開(kāi)發(fā)能夠保密用戶(hù)數(shù)據(jù)的隱私感知云輸入法，但目前并未得到廣泛使用。

隱私專(zhuān)家的建議

輸入法安全漏洞可導(dǎo)致個(gè)人財(cái)務(wù)信息、登錄賬號(hào)和隱私泄露。隱私專(zhuān)家建議手機(jī)用戶(hù)應(yīng)保持應(yīng)用程序和操作系統(tǒng)更新到最新版本。如果用戶(hù)擔(dān)心云輸入法的隱私問(wèn)題，建議考慮切換到完全在設(shè)備上運(yùn)行的本地輸入法應(yīng)用（模式）。