Android
在对键盘应用程序进行分析时,我们发现其存在哪些类型的软件漏洞?这些键盘应用为了实现基于云的预测功能,会将用户的按键数据传输到互联网服务器。然而,这一过程存在诸多安全隐患。也就是说,如果您使用了这些键盘应用,您的网络服务提供商(ISP)、虚拟专用网络(VPN),甚至与您共享同一 WIFI 瓶颈的其他用户,都可能获取到您在设备上输入的内容。在我们调查的九家键盘应用供应商中,只有华为的应用程序未显示出任何关于用户按键传输的安全隐患。需要说明的是,我们的研究并未对任何应用程序进行全面审计,也未试图彻底查找每个软件中的所有安全漏洞。本报告仅针对我们在键盘应用程序中发现的特定类别漏洞进行了分析。因此,未提及的其他漏洞并不意味着它们不存在。这提醒用户,在选择键盘应用时,务必关注其数据传输安全性。这些漏洞会对键盘应用程序用户造成什么影响?按键信息属于高度敏感的数据,因为它涵盖了我们在输入设备中输入的所有内容,例如密码、财务信息和浏览记录等。据我们估算,多达十亿用户的按键数据可能面临被截获的风险,这给用户安全带来了严重威胁。在发现漏洞后,我们及时通知了所有受影响的供应商,其中大多数已经对应用程序进行了更新以修复漏洞。我们强烈建议用户尽快升级键盘应用或操作系统,或者切换至仅使用本地预测功能的键盘(而非基于云的键盘)。一些非基于云的键盘包括 Google 的 Gboard 以及 Apple 默认的 IOS 键盘。这样可以有效降低潜在风险。基于这些研究结果,研究人员向用户提出了以下建议:首先,高风险用户或对隐私保护有较高要求的人群,应避免在键盘或输入法中开启基于云的功能。对于IOS用户,可以通过取消键盘或输入法的完全访问权限,限制其网络访问能力。QQ拼音输入法的用户应当尽快更换为其他输入法。使用荣耀设备的用户,建议禁用预装的百度输入法,并选择其他第三方替代品。此外,由于百度输入法即使更新了网络安全协议,仍可能存在隐私隐患,因此不推荐普遍使用。其他正在使用搜狗、百度或科大讯飞输入法(包括系统自带或预装版本)的用户,需确保键盘应用与操作系统均为最新版本。对于注重隐私的用户来说,还可以考虑改用非云服务类的输入法,例如Google的Gboard或Apple默认提供的IOS键盘。针对研究发现的问题,我们已通知所有受影响的供应商。大多数供应商更新了应用程序以修复漏洞。除百度、vivo 和小米外,其他公司均对我们的披露作出回应。百度在我们公开问题后不久,修复了我们报告的最严重漏洞,但尚未解决所有问题。在我们分析的预装键盘应用中,相关移动设备厂商已在应用内修复了漏洞,但百度的应用例外。部分应用仅修补了最严重的漏洞,例如荣耀的相关应用则未对任何问题进行修复。请查看下表,了解截至2024年4月1日我们分析的应用程序安全状态详情。
QQ拼音与搜狗输入法同为腾讯出品。在本报告中,我们针对QQ拼音进行了分析,发现其存在与搜狗输入法类似的安全问题。总体来说,除了荣耀键盘应用和腾讯的QQ拼音,我们不再对其他产品予以考虑。此外,百度键盘在其他设备上仍存在加密漏洞,但目前我们无法利用这些漏洞实现对用户传输过程中击键内容的完全解密。总结:由于工信部规定,国内设备不得预装gboard和微软键盘的本地调用功能,多数厂商只能采用国产输入法。这个网站名为Citizen Lab,其揭露的内容意义有限。擅长使用手机的人大多不用国内输入法,而且通过云获取用户信息早就是公开的秘密。那些呼吁小米、蓝绿厂自主研发输入法的声音,我觉得可以歇歇了。国外用Google键盘不是挺好的吗?
Copyright © 2025 IZhiDa.com All Rights Reserved.
知答 版权所有 粤ICP备2023042255号
