警惕私钥泄露风险!中国8家输入法软件曝严重漏洞,涉及OPPO、三星、小米等品牌
内容提要 F2Pool共同创办人神鱼今天在X发推警告称,全球规模最大的矿池之一可能已泄露多达十亿用户的云端拼音输入法内容。根据神鱼的言论,Nine家厂商中有八家输入法软件存在严重漏洞,而华为是唯一没有漏洞的厂商。华为产品未发现上传用户输入内容至云端相关的安全问题,另一方面,iOS系统在测试中没有漏洞问题。The Citizen Lab已向厂商报告了这些漏洞,但有些厂商已修复一些较为严重的漏洞,有些则完全未修补。为了提高用户的安全意识,The Citizen Lab建议搜狗、QQ、百度、讯飞输入法用户确保软件和操作系统保持最新版本,停用云端功能以保隐私安全,iOS用户不要授予输入法完全访问权限。
全球规模最大的矿池之一,F2Pool 共同创办人神鱼今日在 X 发推表示,多达十亿用户的云输入法可能已经泄露输入内容
全球规模最大的矿池之一,F2Pool 共同创办人神鱼今日在 X 发文表示,多达十亿用户的云端拼音输入法软体可能已经泄露输入内容,如果用户通过下文分析中的输入法,输入过钱包记助词或其他敏感讯息,请即采取相应措施以降低遭骇风险。
开发者为了能让中文输入法能预测使用者可能会输入的文字,往往会透过云端提供相关支援,但若没有充分的保护措施,可能被攻击者盗录讯息。九间厂商中有八间输入法软体包含严重漏洞
根据神鱼的推文引述,数位监督组织公民实验室(The Citizen Lab)分析了 9 家厂商,厂商包括:百度、荣耀、华为、讯飞、OPPO、三星、腾讯、Vivo以及小米,其中八家的输入法软体包含严重的漏洞(仅华为幸免于难)。
另外,综合先前研究中发现的搜狗输入法漏洞,估计至少有十亿用户受到漏洞影响,基于以下原因,用户输入内容可能已经遭大规模搜集:
- 漏洞影响广泛的用户群体
- 用户在键盘中输入得讯息极为敏感
- 发现这些漏洞不需要高深的技术
- 五眼联盟过去曾利用中国应用程序中类似的漏洞实施监控
仅华为未发现漏洞,iOS 系统最安全
在 9 间厂商的应用程序测试中,仅有华为的产品未发现上传用户输入内容至云端相关的安全问题,其余每间厂商至少都会有一个应用程序含有漏洞,使得被动型网路攻击者得以监看用户输入的完整内容。另一方面,iOS 系统在测试中没有出现漏洞问题。
主动型网路监听攻击必须主动发出信号,例如在讯息传输过程中窜改少数数据,才能破解加密内容,而主动型网路监听相对容易被侦测到。被动型网路监听攻击无需发出任何讯号,单纯读取传输中的数据,即可达成解密。两者相比之下,被动型网路监听攻击较难被侦测到。下列为测试漏洞图表:
在测出漏洞后,The Citizen Lab 将漏洞资讯提交给厂商,但据了解,有些厂商已修补其中几个较严重的漏洞,有些厂商则是完全未修补。
用户该如何防范
为了提高安全意识 ,The Citizen Lab 提供一些建议给一般用户:
- 搜狗、QQ、百度、讯飞输入法的用户,无论输入法是手动从应用程式商店安装或者原本就内置在操作系统当中,应确保输入法及操作系统维持在最新版本。
- 顾虑隐私的用户应停用任何输入法中的云端功能
- 顾虑隐私的 iOS 用户不要启动输入法的「允许完整访问权」