近日，隱私研究機構citizenlab發布安全報告顯示，除華為以外的八家廠商（百度、榮耀、華為、訊飛、OPPO、三星、騰訊、vivo、小米）的手機云輸入法應用均存在嚴重漏洞，黑客可利用這些漏洞完全竊取用戶輸入內容，或實施網絡竊聽。

超10億用戶面臨泄密風險

報告指出，僅搜狗、百度和訊飛這三家的輸入法市場份額就占中國第三方輸入法市場的95%以上，用戶數量約為10億。

除第三方輸入法程序用戶之外，研究者還發現，來自榮耀、OPPO和小米這三家廠商的設備預裝鍵盤輸入法也存在漏洞。2023年，僅榮耀、OPPO和小米三家就占據了中國智能手機市場份額的近50%。此外，三星和vivo的設備也捆綁了存在漏洞的鍵盤輸入法，但并不是默認選項。

Citizenlab表示已經向上述八家存在漏洞的手機輸入法廠商報告了漏洞，大多數廠商做出了積極回應，嚴肅對待問題并修復了報告的漏洞，但仍有一些鍵盤應用程序存在漏洞。

Citizenlab在報告中警告說，五眼聯盟情報機構此前曾利用類似的中文輸入法安全漏洞實施大規模監控。

云輸入法安全危機

隨著用戶規模的不斷增長，云輸入法應用的后端技術正變得越來越復雜，人們對此類應用的潛在安全風險也越來越重視。安全研究人員對云輸入法應用安全最關注的問題主要有兩點：

• 用戶數據在云服務器上是否安全
• 信息從用戶設備傳輸到云服務器的過程中是否安全

研究人員測試了騰訊、百度、訊飛、三星、華為、小米、OPPO、vivo和榮耀輸入法的多個平臺版本（安卓、iOS和Windows版本）。其中騰訊、百度和科大訊飛——是鍵盤輸入法應用的開發者，其余六家——三星、華為、小米、OPPO、vivo和榮耀是手機制造商，它們要么自己開發了鍵盤輸入法，要么預裝了上述三個輸入法產品。

為了更好地了解這些廠商的鍵盤應用是否安全地實現了其云推薦功能，研究者對這些輸入法進行了安全分析以確定它們是否充分加密了用戶的輸入按鍵記錄。

研究者使用了靜態和動態分析方法：使用jadx反編譯并靜態分析Dalvik字節碼，并使用IDAPro反編譯并靜態分析本機機器碼；使用frida動態分析Android和iOS版本，并使用IDAPro動態分析Windows版本。最后，研究者使用Wireshark和mitmproxy執行網絡流量捕獲和分析。

對九家廠商的輸入法進行分析后，研究者發現只有一家廠商（華為）的輸入法應用在傳輸用戶按鍵記錄時未發現任何安全問題。其余八家廠商的每一家至少有一款應用發現了漏洞，黑客可以利用該漏洞完全竊取用戶輸入的內容（下圖）：

圖片

在大多數情況下，攻擊者只需要是網絡上的被動竊聽者即可利用這些漏洞。但是，在某種情況下，針對使用騰訊搜狗API的應用，攻擊者還需要能夠向云服務器發送網絡流量，但他們不必一定是中間人(MitM)或在網絡第3層欺騙來自用戶的流量。在所有情況下，攻擊者都必須能夠訪問客戶端軟件的副本。

由于蘋果和谷歌的鍵盤輸入法應用都沒有將按鍵記錄傳輸到云服務器以進行云推薦，因此沒有（也無法）分析這些鍵盤的安全功能。

研究者表示，雖然業界一直在推動開發能夠保密用戶數據的隱私感知云輸入法，但目前并未得到廣泛使用。

隱私專家的建議

輸入法安全漏洞可導致個人財務信息、登錄賬號和隱私泄露。隱私專家建議手機用戶應保持應用程序和操作系統更新到最新版本。如果用戶擔心云輸入法的隱私問題，建議考慮切換到完全在設備上運行的本地輸入法應用（模式）。