財經(jīng)頻道
八大主流中文手機輸入法曝出泄密漏洞,僅華為幸免
近日,隱私研究機構(gòu)citizenlab發(fā)布安全報告顯示,除華為以外的八家廠商的手機云輸入法應(yīng)用均存在嚴重漏洞,黑客可利用這些漏洞完全竊取用戶輸入內(nèi)容,目前已有超10億用戶面臨泄密風險。
與此同時,Citizenlab表示已經(jīng)向上述八家存在漏洞的手機輸入法廠商報告了漏洞,大多數(shù)廠商做出了積極回應(yīng),嚴肅對待問題并修復了報告的漏洞,但仍有一些鍵盤應(yīng)用程序存在漏洞。Citizenlab在報告中警告說,五眼聯(lián)盟情報機構(gòu)此前曾利用類似的中文輸入法安全漏洞實施大規(guī)模監(jiān)控。
云輸入法安全危機
隨著用戶規(guī)模的不斷增長,云輸入法應(yīng)用的后端技術(shù)正變得越來越復雜,人們對此類應(yīng)用的潛在安全風險也越來越重視。安全研究人員對云輸入法應(yīng)用安全最關(guān)注的問題主要有兩點:
l 用戶數(shù)據(jù)在云服務(wù)器上是否安全
l 信息從用戶設(shè)備傳輸?shù)皆品?wù)器的過程中是否安全
為了更好地了解這些廠商的鍵盤應(yīng)用是否安全地實現(xiàn)了其云推薦功能,研究者對這些輸入法進行了安全分析以確定它們是否充分加密了用戶的輸入按鍵記錄。
研究者使用了靜態(tài)和動態(tài)分析方法:使用jadx反編譯并靜態(tài)分析Dalvik字節(jié)碼,并使用IDAPro反編譯并靜態(tài)分析本機機器碼;使用frida動態(tài)分析Android和iOS版本,并使用IDAPro動態(tài)分析Windows版本。最后,研究者使用Wireshark和mitmproxy執(zhí)行網(wǎng)絡(luò)流量捕獲和分析。
對九家廠商的輸入法進行分析后,研究者發(fā)現(xiàn)只有一家廠商(華為)的輸入法應(yīng)用在傳輸用戶按鍵記錄時未發(fā)現(xiàn)任何安全問題。其余八家廠商的每一家至少有一款應(yīng)用發(fā)現(xiàn)了漏洞,黑客可以利用該漏洞完全竊取用戶輸入的內(nèi)容。
在大多數(shù)情況下,攻擊者只需要是網(wǎng)絡(luò)上的被動竊聽者即可利用這些漏洞。但是,在某種情況下,針對使用騰訊搜狗API的應(yīng)用,攻擊者還需要能夠向云服務(wù)器發(fā)送網(wǎng)絡(luò)流量,但他們不必一定是中間人(MitM)或在網(wǎng)絡(luò)第3層欺騙來自用戶的流量。在所有情況下,攻擊者都必須能夠訪問客戶端軟件的副本。
由于蘋果和谷歌的鍵盤輸入法應(yīng)用都沒有將按鍵記錄傳輸?shù)皆品?wù)器以進行云推薦,因此沒有(也無法)分析這些鍵盤的安全功能。
研究者表示,雖然業(yè)界一直在推動開發(fā)能夠保密用戶數(shù)據(jù)的隱私感知云輸入法,但目前并未得到廣泛使用。
隱私專家的建議
輸入法安全漏洞可導致個人財務(wù)信息、登錄賬號和隱私泄露。隱私專家建議手機用戶應(yīng)保持應(yīng)用程序和操作系統(tǒng)更新到最新版本。如果用戶擔心云輸入法的隱私問題,建議考慮切換到完全在設(shè)備上運行的本地輸入法應(yīng)用(模式)。
本文僅供讀者參考,任何人不得將本文用于非法用途,由此產(chǎn)生的法律后果由使用者自負。
如因文章侵權(quán)、圖片版權(quán)和其它問題請郵件聯(lián)系,我們會及時處理:tousu_ts@sina.com。
打開微信,點擊底部的“發(fā)現(xiàn)”
使用“"掃—掃"即可將網(wǎng)頁分享至好友
舉報郵箱: Jubao@dzmg.cn 投稿郵箱:Tougao@dzmg.cn
未經(jīng)授權(quán)禁止建立鏡像,違者將依去追究法律責任
大眾商報(大眾商業(yè)報告)并非新聞媒體,不提供任何新聞采編等相關(guān)服務(wù)
Copyright ©2012-2023 dzmg.cn.All Rights Reserved
湘ICP備2023001087號-2