国内主流输入法皆存在泄密漏洞,仅华为幸免

据加拿大多伦多大学网络安全实验室Citizen Lab报告,中国绝大多数云输入法应用皆存在严重安全漏洞,可被黑客利用来窃取用户输入内容。

报告指出,搜狗、百度和讯飞三家厂商占到了中国第三方输入法市场的95%以上,用户数量估计超过7.8亿。同时,预装并默认使用易受攻击键盘应用的三家手机制造商——荣耀、OPPO和小米占据了2023年中国智能手机市场的近50%。
据了解,研究人员 Jeffrey Knockel、Mona Wang 和 Zoë Reichert 在来自百度、荣耀、讯飞、OPPO、三星、腾讯、vivo 和小米等厂商的云输入法应用中皆发现了安全漏洞,都可能被攻击者利用来揭示用户按键记录,而唯一未发现安全问题的厂商是华为。
具体问题总结如下:
- 腾讯QQ输入法容易受到CBC padding oracle攻击,可导致明文恢复。
- 百度输入法 BAIDUv3.1 存在加密协议漏洞,使网络监听者能够解密网络传输并提取输入文本。
- 讯飞输入法的安卓app允许网络监听者恢复未充分加密的网络传输的明文。
- 三星键盘通过明文、未加密的 HTTP 传输按键数据。
- 小米预装了百度、讯飞和搜狗的键盘应用(因此容易受到前述漏洞影响)。
- OPPO 预装了百度和搜狗的键盘应用(因此容易受到前述漏洞影响)。
- vivo 预装了搜狗输入法(因此容易受到前述漏洞影响)。
- 荣耀预装了百度输入法(因此容易受到前述漏洞影响)。
成功利用这些漏洞可能允许被动型攻击者得以监看中国手机用户输入的完整内容,而无需发送任何额外的网络流量。在Citizen Lab向上述厂商披露之后,大部分厂商都已于2024年4月1日前进行了修复。
Citizen Lab建议有隐私顾虑的用户不应启用其输入法云功能,或者应更换为不提供云功能的输入法,而有隐私顾虑的iOS用户不应为其输入法启用“完全访问”权限。
原文链接:https://citizenlab.ca/2024/04/vulnerabilities-across-keyboard-apps-reveal-keystrokes-to-network-eavesdroppers/
编辑:左右里
资讯来源:Citizen Lab
转载请注明出处和本文链接
﹀


球分享

球点赞

球在看

[广告]赞助链接:
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

随时掌握互联网精彩
- 华为ADN斩获FutureNet World 2024“领先网络自动化解决方案”大奖
- 在Z|火线安全(高至25K/月)诚招技术支持、售前、安全运营等工程师及大客户经理
- 再强调一遍:Unix 不是 Linux!
- 从研发到管理,这十大技巧助我提升了领导力
- 全新一代骁龙8移动平台,让精彩一拍既得
- 云原生灰度更新实践
- 谷歌真的“不作恶”?前员工起诉:它早已亲手打破座右铭
- 混合现实平台 Mesh、云服务能力翻倍扩容、福利 150 万人……Ignite China 精彩盘点
- 产品经理与程序员段子都是从哪来的
- 平均14915元,2021 年 1 月程序员工资统计出炉
- 供不应求,《0day安全 软件漏洞分析技术》第三次再版印刷啦!
- 【2020 SDC】现场议题完整视频上线啦!优质干货需要反复学习!