基于雲的拼音鍵盤應用程序中(zhōng)發現的安全漏洞可能會被利用,向不法分(fēn)子洩露用戶的擊鍵内容。
該調查結果來自公民實驗室,該實驗室發現了百度、榮耀、科大(dà)訊飛、OPPO、三星、騰訊、Vivo和小(xiǎo)米等供應商(shāng)的九款應用程序中(zhōng)的八款存在缺陷。唯一(yī)一(yī)家鍵盤應用程序不存在任何安全缺陷的供應商(shāng)是華爲。
研究人員(yuán)傑弗裏·諾克爾 (Jeffrey Knockel)、莫娜·王 (Mona Wang) 和佐伊·賴克特 (Zoë Reichert)表示,這些漏洞可能被用來“完全洩露用戶在傳輸過程中(zhōng)的擊鍵内容”。
此次披露是基于多倫多大(dà)學跨學科實驗室的先前研究,該實驗室去(qù)年八月發現了騰訊搜狗輸入法的密碼缺陷。
總體(tǐ)而言,估計有近 10 億用戶受到此類漏洞的影響,其中(zhōng)搜狗、百度和科大(dà)訊飛的輸入法編輯器 (IME) 占據了很大(dà)一(yī)部分(fēn)市場份額。
已發現的問題摘要如下(xià):
騰訊QQ拼音易受CBC padding oracle攻擊,可恢複明文
百度輸入法,由于 BAIDUv3.1 加密協議中(zhōng)的錯誤,允許網絡竊聽(tīng)者解密網絡傳輸并提取 Windows 上鍵入的文本
iFlytek IME,其 Android 應用程序允許網絡竊聽(tīng)者恢複未充分(fēn)加密的網絡傳輸的明文
Android 上的三星鍵盤,通過普通、未加密的 HTTP 傳輸擊鍵數據
小(xiǎo)米,預裝了百度、科大(dà)訊飛和搜狗的鍵盤應用程序(因此容易受到上述相同缺陷的影響)
OPPO,預裝了百度和搜狗的鍵盤應用程序(因此容易受到上述相同缺陷的影響)
Vivo,預裝了搜狗輸入法(因此容易受到上述相同缺陷的影響)
Honor,預裝了百度輸入法(因此容易受到上述相同缺陷的影響)
成功利用這些漏洞可以讓攻擊者完全被動地解密中(zhōng)國移動用戶的擊鍵,而無需發送任何額外(wài)的網絡流量。經過負責任的披露,截至 2024 年 4 月 1 日,除榮耀和騰訊(QQ拼音)外(wài),所有鍵盤應用程序開(kāi)發商(shāng)均已解決了這些問題。
建議用戶保持應用程序和操作系統最新,并切換到完全在設備上運行的鍵盤應用程序,以緩解這些隐私問題。
其他建議呼籲應用程序開(kāi)發人員(yuán)使用經過充分(fēn)測試的标準加密協議,而不是開(kāi)發可能存在安全問題的本土版本。應用商(shāng)店(diàn)運營商(shāng)也被敦促不要對安全更新進行地理封鎖,并允許開(kāi)發人員(yuán)證明所有數據都以加密方式傳輸。
公民實驗室推測,中(zhōng)國應用程序開(kāi)發人員(yuán)可能不太願意使用“西方”加密标準,因爲擔心它們可能包含自己的後門,促使他們開(kāi)發内部密碼。
“考慮到這些漏洞的範圍、用戶在設備上輸入内容的敏感性、這些漏洞被發現的難易程度,以及五眼聯盟之前曾利用中(zhōng)國應用程序中(zhōng)的類似漏洞進行監視,因此此類用戶的擊鍵也可能受到大(dà)規模監視,”研究人員(yuán)說。
隐私專家的建議
輸入法安全漏洞可導緻個人财務信息、登錄賬号和隐私洩露。隐私專家建議手機用戶應保持應用程序和操作系統更新到最新版本。如果用戶擔心雲輸入法的隐私問題,建議考慮切換到完全在設備上運行的本地輸入法應用(模式)。
轉載自安全客
上一(yī)篇:手機号注銷的風險應對操作指引(圖文)
下(xià)一(yī)篇:返回列表