財經頻道
八大主流中文手機輸入法曝出泄密漏洞,僅華為幸免
近日,隱私研究機構citizenlab發布安全報告顯示,除華為以外的八家廠商的手機云輸入法應用均存在嚴重漏洞,黑客可利用這些漏洞完全竊取用戶輸入內容,目前已有超10億用戶面臨泄密風險。
與此同時,Citizenlab表示已經向上述八家存在漏洞的手機輸入法廠商報告了漏洞,大多數廠商做出了積極回應,嚴肅對待問題并修復了報告的漏洞,但仍有一些鍵盤應用程序存在漏洞。Citizenlab在報告中警告說,五眼聯盟情報機構此前曾利用類似的中文輸入法安全漏洞實施大規模監控。
云輸入法安全危機
隨著用戶規模的不斷增長,云輸入法應用的后端技術正變得越來越復雜,人們對此類應用的潛在安全風險也越來越重視。安全研究人員對云輸入法應用安全最關注的問題主要有兩點:
l 用戶數據在云服務器上是否安全
l 信息從用戶設備傳輸到云服務器的過程中是否安全
為了更好地了解這些廠商的鍵盤應用是否安全地實現了其云推薦功能,研究者對這些輸入法進行了安全分析以確定它們是否充分加密了用戶的輸入按鍵記錄。
研究者使用了靜態和動態分析方法:使用jadx反編譯并靜態分析Dalvik字節碼,并使用IDAPro反編譯并靜態分析本機機器碼;使用frida動態分析Android和iOS版本,并使用IDAPro動態分析Windows版本。最后,研究者使用Wireshark和mitmproxy執行網絡流量捕獲和分析。
對九家廠商的輸入法進行分析后,研究者發現只有一家廠商(華為)的輸入法應用在傳輸用戶按鍵記錄時未發現任何安全問題。其余八家廠商的每一家至少有一款應用發現了漏洞,黑客可以利用該漏洞完全竊取用戶輸入的內容。
在大多數情況下,攻擊者只需要是網絡上的被動竊聽者即可利用這些漏洞。但是,在某種情況下,針對使用騰訊搜狗API的應用,攻擊者還需要能夠向云服務器發送網絡流量,但他們不必一定是中間人(MitM)或在網絡第3層欺騙來自用戶的流量。在所有情況下,攻擊者都必須能夠訪問客戶端軟件的副本。
由于蘋果和谷歌的鍵盤輸入法應用都沒有將按鍵記錄傳輸到云服務器以進行云推薦,因此沒有(也無法)分析這些鍵盤的安全功能。
研究者表示,雖然業界一直在推動開發能夠保密用戶數據的隱私感知云輸入法,但目前并未得到廣泛使用。
隱私專家的建議
輸入法安全漏洞可導致個人財務信息、登錄賬號和隱私泄露。隱私專家建議手機用戶應保持應用程序和操作系統更新到最新版本。如果用戶擔心云輸入法的隱私問題,建議考慮切換到完全在設備上運行的本地輸入法應用(模式)。
大眾商報(大眾商業報告)所刊載信息,來源于網絡,并不代表本站觀點。本文所涉及的信息、數據和分析均來自公開渠道,如有任何不實之處、涉及版權問題,請聯系我們及時處理。大眾商報非新聞媒體,不提供任何互聯網新聞相關服務。本文僅供讀者參考,任何人不得將本文用于非法用途,由此產生的法律后果由使用者自負。
如因文章侵權、圖片版權和其它問題請郵件聯系,我們會及時處理:tousu_ts@sina.com。
打開微信,點擊底部的“發現”
使用“"掃—掃"即可將網頁分享至好友
舉報郵箱: Jubao@dzmg.cn 投稿郵箱:Tougao@dzmg.cn
未經授權禁止建立鏡像,違者將依去追究法律責任
大眾商報(大眾商業報告)并非新聞媒體,不提供任何新聞采編等相關服務
Copyright ©2012-2023 dzmg.cn.All Rights Reserved
湘ICP備2023001087號-2