公民实验室：云输入法存在漏洞 可被监听输入内容

公民实验室：云输入法存在漏洞 可被监听输入内容 公民实验室的研究人员分析九家输入法软件，其中发现其中八家存在严重漏洞，使攻击者可以监视用户的输入内容。 研究人员已经向受影响的厂商报告了这些漏洞，并大部分厂商都进行了修补。但仍有少数输入法未修补这些漏洞。 此外，五眼联盟曾经利用类似的漏洞进行监控活动。 详细了解更多信息 投稿By:kishinsagi

#互联网观察▎多达十亿用户的云输入法可能已泄露输入内容

#互联网观察 ▎多达十亿用户的云输入法可能已泄露输入内容 来自分析了来自九家供应商（百度、荣耀、华为、科大讯飞、OPPO、三星、腾讯、Vivo 和小米）的基于云的拼音键盘应用程序的安全性，并检查了它们传输用户击键的漏洞。 分析结果指出，九家厂商中，有八家输入法软件包含严重漏洞，使我们得以完整破解厂商设计用于保护用户输入内容的加密法。亦有部分厂商并未使用任何加密法保护用户输入内容。 综合本研究和我们先前研究中发现的搜狗输入法漏洞，我们估计至多有十亿用户受到这些漏洞影响。基于下述原因，我们认为用户输入的内容可能已经遭到大规模收集： 这些漏洞影响了广泛的用户群体 用户在键盘中输入的信息极为敏感 发现这些漏洞不需要高深技术 五眼联盟过去曾利用中国应用程序中类似的漏洞施行监控 该实验室已向受影响的九家开发商提交这些漏洞，大部分开发商均认真看待问题并予以回应，修补了漏洞，但仍有少数输入法未修补漏洞。 ▎报告链接 中文摘要版： 英文全文版： 该新闻为慢讯，频道 @AppDoDo

警告 多伦多大学公民实验室(The Citizen Lab)发布报告指出:在测试的九家厂商的应用程式中,华为,百度、荣耀、讯飞、

警告 多伦多大学公民实验室(The Citizen Lab)发布报告指出:在测试的九家厂商的应用程式中,华为,百度、荣耀、讯飞、 三星、 OPPO、腾讯、VIVO和小米在内的厂商提供的输入 法存在严重漏洞,这些漏洞被用来监视使用者输入的内容。 以亿为单位的用户受到威胁!这些输入法在网路上即时捕获用户的输入内容！

一系列云端输入法漏洞使网络攻击者得以监看个人用户的输入内容

一系列云端输入法漏洞使网络攻击者得以监看个人用户的输入内容 分析结果指出，九家厂商中，有八家输入法软件包含严重漏洞，使我们得以完整破解厂商设计用于保护用户输入内容的加密法。亦有部分厂商并未使用任何加密法保护用户输入内容。 1，主动和被动型网络监听者均可以破解加密的用户输入内容，已被我们成功实测 2，主动型网络监听者可以破解加密的用户输入内容，已被我们成功实测 3，!加密法实操中存在弱点 4，未发现问题 5，N/A该产品在我们测试的设备上不提供或是不存在 6，* 在我们的测试设备上，此为默认的输入法 链接： 让你们用搜狗，用国内的输入法，阿喵我现在已经完全拥抱rime了 rime： #输入法 #网络安全 推特 | 圈子 | 群聊 | 投稿

多伦多大学公民实验室 (The Citizen Lab) 发布报告指出：在测试的九家厂商的应用程序中，发现除了华为，其他八家包括

多伦多大学公民实验室 (The Citizen Lab) 发布报告指出：在测试的九家厂商的应用程序中，发现除了华为，其他八家包括百度、荣耀、讯飞、OPPO、三星、腾讯、VIVO和小米在内的厂商提供的输入法存在严重漏洞，这些漏洞可以被用来监视用户输入的内容。存在安全漏洞的中文输入法，您还敢用吗？

对多家中国公司的拼音键盘应用程序分析发现可能向网络窃听者泄露击键内容的漏洞

对多家中国公司的拼音键盘应用程序分析发现可能向网络窃听者泄露击键内容的漏洞 我们（公民实验室）分析了常见云端拼音输入法的安全性，包含百度、荣耀、华为、讯飞、OPPO、三星、腾讯等九家厂商，并分析了它们发送用户输入内容到云端的过程是否含有安全缺陷。分析结果指出，九家厂商中，有八家输入法软件包含严重漏洞，使我们得以完整破解厂商设计用于保护用户输入内容的加密法。亦有部分厂商并未使用任何加密法保护用户输入内容。综合本研究和我们先前研究中发现的搜狗输入法漏洞，我们估计至多有十亿用户受到这些漏洞影响。基于下述原因，我们认为用户输入的内容可能已经遭到大规模收集： ·这些漏洞影响了广泛的用户群体 ·用户在键盘中输入的信息极为敏感 ·发现这些漏洞不需要高深技术 ·五眼联盟过去曾利用中国应用程序中类似的漏洞施行监控 在我们测试的九家厂商的应用程序中，仅有华为的产品未发现任何上传用户输入内容至云端相关的安全问题，其余每一家厂商都至少有一个应用程序含有漏洞，使得被动型网络攻击者得以监看用户输入的完整内容。 （）