国产云输入法——仅华为无云端数据上传安全问题

来源: OSCHINA
编辑:
2024-04-24 17:36:00

加拿大多伦多大学公民实验室 (CitizenLab) 的研究人员分析了百度、荣耀、华为、讯飞、OPPO、Vivo、三星、腾讯、小米九家厂商的云输入法,发现八家输入法软件包含严重漏洞,允许研究人员完整破解厂商设计用于保护用户输入内容的加密法。还有部分厂商并未使用任何加密法保护用户输入内容

▲ 百度 IME 在 Android 和 iOS 上使用的 BCTR 模式加密方案示意图

研究人员向受影响的九家开发商提交了漏洞报告,大部分开发商均认真看待问题并予以回应,修补了漏洞,但仍有少数输入法未修补漏洞。

在测试的九家厂商的应用程序中,仅有华为的产品未发现任何上传用户输入内容至云端相关的安全问题,其余每一家厂商都至少有一个应用程序含有漏洞,使得被动型网络攻击者得以监看用户输入的完整内容。


参考链接

https://citizenlab.ca/2024/04/vulnerabilities-across-keyboard-apps-reveal-keystrokes-to-network-eavesdroppers/

https://citizenlab.ca/2024/04/%e6%95%b2%e6%95%b2%e6%89%93%e6%89%93%e4%b8%80%e7%b3%bb%e5%88%97%e4%ba%91%e7%ab%af%e8%be%93%e5%85%a5%e6%b3%95%e6%bc%8f%e6%b4%9e%e4%bd%bf%e7%bd%91%e7%bb%9c%e6%94%bb%e5%87%bb%e8%80%85%e5%be%97-zh-cn/

https://citizenlab.ca/wp-content/uploads/2024/04/CitizenLabReport175-keyboardvuln.pdf

展开阅读全文
点击加入讨论🔥(15) 发布并加入讨论🔥
本篇精彩评论
慧慧看嘛, 百度收入法,讯飞输入发,搜狗输入法 真是不会读题
2024-04-25 14:15
1
举报
小米他们上传用户输入到云端干什么?
2024-04-25 09:04
1
举报
有惊喜,没意外
2024-04-24 17:48
1
举报
15 评论
4 收藏
分享
返回顶部
顶部