發現中文輸入法應用程式存在廣泛的漏洞
Citizen Lab的網路安全研究人員發現了一個影響多個流行智慧手機輸入法應用程式的嚴重安全漏洞,可能暴露了近10億使用者的私人通訊。
主要發現
- 該漏洞存在於使用拼音輸入系統輸入中文字元的輸入法應用程式中。
- 受影響的應用包括來自主要科技公司的輸入法,如Samsung、Xiaomi、OPPO、Vivo、Honor、Tencent、Baidu和iFlytek。
- 這個漏洞允許按鍵操作以未加密的方式傳輸,實際上將基於雲端的輸入法變成了鍵盤記錄器。
- 只有Huawei的輸入法應用程式被發現對這個特定漏洞免疫。
影響和風險
由於其廣泛性和所涉及資料的敏感性,這個安全漏洞特別令人擔憂。受影響輸入法的使用者可能已經暴露了他們的整個輸入歷史,包括:
- 個人訊息
- 密碼
- 信用卡資訊
- 其他敏感資料
使這個漏洞特別危險的是,它可以被被動網路竊聽者利用,而不會引起任何明顯的幹擾,使得檢測極其困難。
回應和緩解措施
Citizen Lab已向所有受影響的供應商報告了這些漏洞。截至4月1日:
- 大多數製造商已經解決了這個問題
- Honor和Tencent的QQ拼音輸入法仍在更新過程中
對使用者的建議
- 立即更新您的裝置和應用程式
- 考慮切換到裝置內建輸入法或來自信譽良好的製造商的輸入法,如Google Keyboard
- 在受影響的裝置上輸入敏感資訊時要格外小心
這一事件再次提醒我們,在移動應用程式中實施強大的加密尤其是那些處理使用者輸入的應用程式的重要性。隨著我們對智慧手機進行敏感通訊的依賴不斷增加,我們確保其安全的警惕性也必須相應提高。