| 关键词: 输入法 应用程序 加密 漏洞 腾讯 缺陷 讯飞 受到 这些 可能 |
基于云的拼音输入法中发现的安全漏洞可能会被利用,向不法分子泄露用户的击键内容。 该调查结果来自公民实验室,该实验室发现了百度、荣耀、科大讯飞、OPPO、三星、腾讯、Vivo和小米等供应商的九款应用程序中的八款存在安全漏洞。唯一一家输入法不存在任何安全缺陷的供应商是华为。 研究人员杰弗里·诺克尔 (Jeffrey Knockel)、莫娜·王 (Mona Wang) 和佐伊·赖克特 (Zo Reichert)表示,这些漏洞可能被用来“完全泄露用户在传输过程中的击键内容”。 此次披露是基于多伦多大学跨学科实验室的先前研究,该实验室去年八月发现了腾讯搜狗输入法的密码缺陷。 总体而言,估计有近 10 亿用户受到此类漏洞的影响,其中搜狗、百度和科大讯飞的输入法编辑器 (IME) 占据了很大一部分市场份额。 已发现的问题摘要如下:
成功利用这些漏洞可以让攻击者完全被动地解密中国手机用户的击键,而无需发送任何额外的网络流量。经过负责任的披露,截至 2024 年 4 月 1 日,除荣耀和腾讯(QQ拼音)外,所有键盘应用程序开发商均已解决了这些问题。 ![]() 建议用户保持应用程序和操作系统最新,并切换到完全在本地设备上运行的输入法,以缓解这些隐私问题。 其他建议呼吁应用程序开发人员使用经过充分测试的标准加密协议,而不是开发可能存在安全问题的本土版本。应用商店运营商也被敦促不要对安全更新进行地理封锁,并允许开发人员证明所有数据都以加密方式传输。 公民实验室推测,中国应用程序开发人员可能不太愿意使用“西方”加密标准,因为担心它们可能包含自己的后门,促使他们开发内部密码。 “考虑到这些漏洞的范围、用户在设备上输入内容的敏感性、这些漏洞被发现的难易程度,以及五眼联盟之前曾利用中国应用程序中的类似漏洞进行监视,因此此类用户的击键也可能受到大规模监视。”研究人员说。 详细技术报告:https://citizenlab.ca/2024/04/vulnerabilities-across-keyboard-apps-reveal-keystrokes-to-network-eavesdroppers/ 参考链接: https://thehackernews.com/2024/04/major-security-flaws-expose-keystrokes.html |
| 本文出处: https://www.toutiao.com/article/7361575111956169270/ |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|