資訊保安

加研究:中國手機輸入法存漏洞 逾 10 億人受影響

Published by
Oscar

加拿大多倫多大學近日發布一份有關手機輸入法的研究報告,調查結果顯示部分主流手提電話製造商的輸入法有不同程度的安全漏洞問題,甚至可以「竊聽」用戶輸入內容,嚴重威脅用戶個人私隱。

 

加拿大多倫多大學 Citizen Lab 日前發表了分析常見雲端拼音輸入鍵盤安全性的論文《The not-so-silent type》(報告摘要連結),報告分析了主流雲端拼音輸入鍵盤開發商騰訊、百度、科大訊飛、三星、華為、小米、OPPO、Vivo 和榮耀的產品,分析結果指出,9 間廠商有 8 家輸入法軟體內有嚴重漏洞,不法之徒可以輕鬆破解廠商設計用於保護使用者輸入內容的加密法,另外亦有部分廠商並未使用任何加密法保護使用者輸入內容。

 

Citizen Lab 調查報告顯示, 9 間開發商僅有華為的產品未被發現有任何傳輸使用者輸入相關的安全問題,其餘廠商均有起碼一個漏洞,讓「被動網路攻擊者」能夠在不發出任何訊號下,單純讀取讀取傳輸中的的資料後解密,竊取使用者輸入的內容。

 

▲圖片來源:citizenlab

▲圖片來源:citizenlab

▲圖片來源:citizenlab

 

研究報告估計有 10 億使用者受這類別漏洞影響,Citizen Lab 表示已經向受影響雲端拼音輸入鍵盤開發商匯報這類漏洞,大部分廠商已修補相關漏洞。報告建議使用者應持續更新輸入法及作業系統,確保正在使用最新版本;對私隱有顧慮的用家應停用輸入法雲端功能,而 iOS 用家則不應該啟用輸入法的「允許完整存取權」。

 

資料來源:citizen lab

Published by
Oscar