加拿大多倫多大學 Citizen Lab 團隊上月發表研究報告,分析九家常見雲端拼音輸入鍵盤的安全性,發現九家廠商中有八家輸入法軟件都存在嚴重漏洞,可以讓惡意分子截取到用戶的輸入內容。研究人員除了呼籲用戶立即更新輸入法和作業系統外,還建議用戶停止使用任何輸入法提供的雲端建議功能,改為使用完全離線的輸入法,以避免資料外洩。
研究的對象包括百度、榮耀、華為、訊飛、OPPO、三星、小米、Vivo 及騰訊九家廠商,發現當中八個存在嚴重漏洞,研究人員可以完整破解廠商設計用於保護使用者輸入內容的加密法。有廠商甚至沒有使用任何加密法來保護使用者輸入的內容,令人驚訝。
九家廠商中只有華為的產品未被發現任何傳輸使用者輸入相關的安全問題,其餘廠商至少都有一個程式存在漏洞,使難以被偵測到的被動網路攻擊者得以監看使用者輸入的完整內容。
早前同一團隊發現搜狗輸入法漏洞,綜合兩次報告,他們估計至多有十億使用者受到這些漏洞影響,並認為用戶輸入的內容可能已經遭大規模收集。研究人員指發現這些漏洞不需要高深技術,並指由美、英、加、澳和新西蘭組成的五眼聯盟過去曾利用中國應用程式中類似的漏洞施行監控。
研究人員已經向九家廠商回報這些漏洞,大部分廠商都已修補漏洞,但仍有少數輸入法未修補漏洞。
研究人員建議搜狗、QQ、百度、訊飛輸入法的使用者,無論輸入鍵盤是手動從應用程式商店安裝或者原本就預載在作業系統當中,應確保輸入鍵盤及作業系統維持在最新版本。而所有使用者應停用任何輸入法中的雲端功能。對於 iOS 的使用者,不應啟用輸入法的「允許全權取用」。
