多伦多大学Citizen Lab分析了九家厂商的基于云的输入法的安全性 ,其中八家的输入法存在严重安全漏洞,可以利用该漏洞完全监控用户用户输入的完整内容。估计至多有十亿用户受到这些漏洞影响。
该实验室分析了包含百度、荣耀、华为、讯飞、OPPO、三星、腾讯等九家厂商的云端拼音输入法的安全性,并分析了它们发送用户输入内容到云端的过程是否含有安全缺陷。分析结果指出,九家厂商中,有八家输入法软件包含严重漏洞,可以完整破解厂商设计用于保护用户输入内容的加密法。亦有部分厂商并未使用任何加密法保护用户输入内容。
Citizen Lab综合本研究和先前研究中发现的搜狗输入法漏洞,估计至多有十亿用户受到这些漏洞影响。基于下述原因,Citizen Lab认为用户输入的内容可能已经遭到大规模收集:
- 这些漏洞影响了广泛的用户群体
- 用户在键盘中输入的信息极为敏感
- 发现这些漏洞不需要高深技术
- 五眼联盟曾利用类似的漏洞施行监控
在测试的九家厂商的应用程序中,仅有华为的产品未发现任何上传用户输入内容至云端相关的安全问题,其余每一家厂商都至少有一个应用程序含有漏洞,使得被动型网络攻击者得以监看用户输入的完整内容。
Citizen Lab依据漏洞披露政策,向各厂商提交了所发现的漏洞。除了百度、Vivo 和小米,其余厂商皆回复了Citizen Lab。在Citizen Lab提交这些漏洞不久之后,百度修复了当中最严重的几个,但并未修补其余漏洞。数家手机制造商在操作系统中内置了这些带有漏洞的输入法程序,除了百度输入法之外,如今手机制造商都已对内置输入法的这些漏洞作出修补。针对内置的百度输入法,荣耀完全未修补任何漏洞,其余厂商都只修补了部分最严重的漏洞。
Citizen Lab建议所有用户将操作系统和应用程序(包含输入法)升级到最新版本,若您使用了下列软件,强烈建议您检查并安装这些软件及操作系统最新的补丁。
非操作系统内置的第三方开发者的输入法:
- Android 和 Windows 平台的搜狗输入法
- Android 和 Windows 平台的QQ拼音输入法
- Android 和 Windows ,iOS平台的百度输入法
- Android 平台的讯飞输入法
三星国行操作系统中内置输入法:
- Samsung Keyboard
- 百度输入法
小米中文版操作系统内置输入法:
- 搜狗输入法小米版
- 讯飞输入法小米版
- 百度输入法小米版
OPPO 中文版操作系统中内置输入法:
- 搜狗输入法定制版
- 百度输入法定制版
Vivo 中文版操作系统中内置输入法:
- 搜狗输入法定制版
下列软件含有未修补的漏洞,能够轻易被攻击者所利用,建议用户改用其它输入法:
荣耀中文版操作系统中内置输入法:
- 百度输入法荣耀版
