近日，隐私研究机构citizenlab发布安全报告显示，除华为以外的八家厂商的手机云输入法应用均存在严重漏洞，黑客可利用这些漏洞完全窃取用户输入内容，目前已有超10亿用户面临泄密风险。

与此同时，Citizenlab表示已经向上述八家存在漏洞的手机输入法厂商报告了漏洞，大多数厂商做出了积极回应，严肃对待问题并修复了报告的漏洞，但仍有一些键盘应用程序存在漏洞。Citizenlab在报告中警告说，五眼联盟情报机构此前曾利用类似的中文输入法安全漏洞实施大规模监控。

云输入法安全危机

随着用户规模的不断增长，云输入法应用的后端技术正变得越来越复杂，人们对此类应用的潜在安全风险也越来越重视。安全研究人员对云输入法应用安全最关注的问题主要有两点：

l 用户数据在云服务器上是否安全

l 信息从用户设备传输到云服务器的过程中是否安全

为了更好地了解这些厂商的键盘应用是否安全地实现了其云推荐功能，研究者对这些输入法进行了安全分析以确定它们是否充分加密了用户的输入按键记录。

研究者使用了静态和动态分析方法：使用jadx反编译并静态分析Dalvik字节码，并使用IDAPro反编译并静态分析本机机器码；使用frida动态分析Android和iOS版本，并使用IDAPro动态分析Windows版本。最后，研究者使用Wireshark和mitmproxy执行网络流量捕获和分析。

对九家厂商的输入法进行分析后，研究者发现只有一家厂商（华为）的输入法应用在传输用户按键记录时未发现任何安全问题。其余八家厂商的每一家至少有一款应用发现了漏洞，黑客可以利用该漏洞完全窃取用户输入的内容。

在大多数情况下，攻击者只需要是网络上的被动窃听者即可利用这些漏洞。但是，在某种情况下，针对使用腾讯搜狗API的应用，攻击者还需要能够向云服务器发送网络流量，但他们不必一定是中间人(MitM)或在网络第3层欺骗来自用户的流量。在所有情况下，攻击者都必须能够访问客户端软件的副本。

由于苹果和谷歌的键盘输入法应用都没有将按键记录传输到云服务器以进行云推荐，因此没有（也无法）分析这些键盘的安全功能。

研究者表示，虽然业界一直在推动开发能够保密用户数据的隐私感知云输入法，但目前并未得到广泛使用。

隐私专家的建议

输入法安全漏洞可导致个人财务信息、登录账号和隐私泄露。隐私专家建议手机用户应保持应用程序和操作系统更新到最新版本。如果用户担心云输入法的隐私问题，建议考虑切换到完全在设备上运行的本地输入法应用（模式）。

免责声明：市场有风险，选择需谨慎！此文仅供参考，不作买卖依据。

责任编辑：kj005