对多家中国公司的拼音键盘应用程序分析发现可能向网络窃听者泄露击键内容的漏洞

对多家中国公司的拼音键盘应用程序分析发现可能向网络窃听者泄露击键内容的漏洞我们（公民实验室）分析了常见云端拼音输入法的安全性，包含百度、荣耀、华为、讯飞、OPPO、三星、腾讯等九家厂商，并分析了它们发送用户输入内容到云端的过程是否含有安全缺陷。分析结果指出，九家厂商中，有八家输入法软件包含严重漏洞，使我们得以完整破解厂商设计用于保护用户输入内容的加密法。亦有部分厂商并未使用任何加密法保护用户输入内容。综合本研究和我们先前研究中发现的搜狗输入法漏洞，我们估计至多有十亿用户受到这些漏洞影响。基于下述原因，我们认为用户输入的内容可能已经遭到大规模收集：·这些漏洞影响了广泛的用户群体·用户在键盘中输入的信息极为敏感·发现这些漏洞不需要高深技术·五眼联盟过去曾利用中国应用程序中类似的漏洞施行监控在我们测试的九家厂商的应用程序中，仅有华为的产品未发现任何上传用户输入内容至云端相关的安全问题，其余每一家厂商都至少有一个应用程序含有漏洞，使得被动型网络攻击者得以监看用户输入的完整内容。——（）

即便加密的消息应用程序也存在窃听问题 ——

即便加密的消息应用程序也存在窃听问题——2019年初，FaceTime群组通话中的一个漏洞让攻击者可以激活正在通话的iPhone的麦克风，甚至是摄像头，并在接收者做任何事之前进入窃听状态。其影响如此之大，以至于苹果完全切断了对群组通话功能的访问，直到该公司能够发布一个修复方案。这个漏洞——以及它完全不需要受害者点击的事实——吸引了娜塔莉·希尔瓦诺维奇。谷歌“零点项目”的研究员希尔瓦诺维奇说：“你可以找到一个影响很大的漏洞，你可以在没有任何互动的情况下导致一个电话被接听，这个想法很令人惊讶。我开始努力寻找其他应用程序中的这些漏洞。最后我发现了一堆这种东西。”希尔瓦诺维奇多年来一直在研究“无交互”漏洞，即不需要目标点击恶意链接、下载附件、在错误的地方输入密码或以任何方式参与其中的骇客攻击。随着有针对性的移动监控在世界各地的爆发，这些攻击的意义越来越大。近期于拉斯维加斯举行的黑帽安全会议上，希尔瓦诺维奇介绍了她对无处不在的通信应用程序（如Signal、GoogleDuo和FacebookMessenger）以及流行的国际平台JioChat和ViettelMocha的远程窃听漏洞的发现。所有这些漏洞都已被修补，希尔瓦诺维奇说，在她披露这些漏洞后的几天或几周内，开发者对修复这些漏洞反应非常积极。但是，在主流服务中发现的这类漏洞的数量之多，强调了这些缺陷是多么的普遍，以及开发人员需要认真对待。希尔瓦诺维奇说：“当我听说那个群组FaceTime的漏洞时，我以为这是一个独特的漏洞不会再发生了，但事实证明并非如此……这是我们以前不知道的事，但现在重要的是，制作通信应用程序的人要意识到这一点。你正在向你的用户做出承诺，你不会在任何时候突然开始传输他们的音频或视频，你有责任确保你的应用程序不辜负这一点”。希尔瓦诺维奇发现的漏洞提供了各种各样的窃听选项：FacebookMessenger的漏洞可能允许攻击者监听目标设备的音频；ViettelMocha和JioChat的漏洞都有可能对音频和视频进行高级访问；Signal的漏洞只暴露了音频；而GoogleDuo漏洞提供了视频访问，虽然只有几秒钟的时间。在这段时间内，攻击者仍然可以录制一些画面或抓取屏幕截图。希尔瓦诺维奇考察的应用程序都是在开源项目WebRTC的实时通信工具上建立其大部分音频和视频通话基础设施的。一些无交互的通话漏洞源于开发者似乎误解了WebRTC的功能，或者实施得不好。但希尔瓦诺维奇说，其他的缺陷来自于与何时和如何设置呼叫有关的每项服务的具体设计决定。当有人在基于互联网的通信应用上给你打电话时，系统可以立即开始在你们的设备之间建立连接，这个过程被称为establishment，所以当你点击接受时，通话可以立即开始。另一种选择是，应用程序稍等一下，等待看你是否接受呼叫，然后在知道你的偏好后花几秒钟建立通信渠道。后者在私下里更容易实现，因为可能出错的地方更少；只有在你肯定的同意之后才会建立连接。不过，大多数主流服务采取的是另一条路线，提前设置通信渠道，甚至开始发送音频和视频流等数据，以便在呼叫的接收者接听时提供近乎即时的连接。做这些准备工作本质上并没有引入漏洞，而且可以以保护隐私的方式进行。但它确实创造了更多犯错的机会。关键是要设计一个经过审查的系统，让它按照预期的方式工作。希尔瓦诺维奇说：“在视频会议方面，开发商有一些重大保证。例如，你不会在任何时候突然开始传输视频。或者静音按钮真的有用吗？很多这些错误发生的原因是，设计这些系统的人没有考虑他们在音频和视频的实际传输时间方面做出的承诺，也没有验证这些承诺是否被遵守”。希尔瓦诺维奇补充说，类似的漏洞很可能在主流通信应用程序中仍未被发现。例如，她只研究了一对一的通话，而iOS群组FaceTime的漏洞表明，群组通话可能有自己的缺陷。她强调，虽然简短的音频或视频片段在所有情况下都不一定是攻击者的金矿，但无交互的攻击往往值得尝试，因为它们看起来无害且难以被追踪。希尔瓦诺维奇说，“我发现无交互的漏洞是最有趣的一类漏洞，因为它们对攻击者来说非常有用，因为用户不需要做任何事就会中招”。

【美国正调查 Binance Trust Wallet iOS 应用程序的漏洞】

【美国正调查BinanceTrustWalletiOS应用程序的漏洞】2024年02月15日06点10分老不正经报道，美国国家标准与技术研究院(NIST)正在分析iOS版本的BinanceTrustWallet应用程序是否存在可能被用来窃取加密钱包资金的漏洞。NIST称，BinanceTrustWallet应用程序的特定版本“滥用了trezor-crypto库”来生成只能验证的助记词在熵源处。熵源是生成数据的物理位置。NIST指出，类似的漏洞在2023年7月被利用，导致经济损失。该信息于2月8日公开，目前正在等待分析以确定该漏洞的实际范围。

美国 NIST 正调查 Binance Trust Wallet iOS 应用程序的漏洞

美国NIST正调查BinanceTrustWalletiOS应用程序的漏洞美国国家标准与技术研究院(NIST)正在分析iOS版本的BinanceTrustWallet应用程序是否存在可能被用来窃取加密钱包资金的漏洞。NIST称，BinanceTrustWallet应用程序的特定版本“滥用了trezor-crypto库”来生成只能验证的助记词在熵源处。熵源是生成数据的物理位置。NIST指出，类似的漏洞在2023年7月被利用，导致经济损失。该信息于2月8日公开，目前正在等待分析以确定该漏洞的实际范围。

黑客主义行动泄露群众斗群众应用程序数据 ——

黑客主义行动泄露群众斗群众应用程序数据——一名据称隶属匿名者组织的黑客从邻里监视应用程序Citizen中泄露了大量数据，并将其发布在一个暗网网站上。这些数据包括与170万个“事件”有关的大量信息——这些事件是Citizen通知用户他们所在地区的“犯罪”或被怀疑为犯罪的事件——例如事件发生地的GPS坐标，其更新历史，与该事件有关的警察广播的片段，以及相关图像等。该应用程序在抗议活动中被用于群众斗群众——将抗议者举报给警察。黑客在网站上写道：“去他妈的告密者，去他妈的Citizen，去他妈的安德鲁·弗雷姆，记住，孩子，警察不是你的朋友！”安德鲁·弗雷姆是Citizen的首席执行官；弗雷姆负责悬赏30,000美元征集信息，以逮捕该公司**错误地**怀疑引发最近一场野火的人。随着黑客大规模地泄露这些信息，并以一系列文件的形式发布下载，**这些数据就类似于很多城市的警察活动的完整记录汇总，使记者和研究人员能够更深入地了解该应用在全国的使用和传播情况。除了上述“事件”数据，公布的缓存还包括上传到Citizen的视频的元数据，以及存储在Citizen服务器上的150万个视频的URL的大列表（总计70TB的剪辑）。该列表中还包括那些被Citizen的内容审核团队标记为从公共信息流中删除的视频，这些视频仍然可以访问。这绝不是特例，群众斗群众在全世界都存在，以各种不同的方式；比如最近的缅甸抗议活动中，西方媒体和观察员犯了一个大错误，他们认为缅甸“有支持政变的人和反对政变的人之间的冲突”，不！并没有！没有人支持政变；军政府借助冠状病毒危机中失业的家庭的经济窘境，给他们发钱，让他们去殴打反政变抗议者——用刀子给多少钱、用砖块给多少钱、用拳头……都是明码标价的。对于那些穷人，这些钱是他们养活自己的孩子的唯一方法。我们将在不久后详细分析这些事件。中国社会对群众斗群众这种方式应该很熟悉了，中国网络上有很多“举报功能”，都是这一性质；虽然中国还没有大规模的抗议活动，如果有的话，类似Citizen这种东西，您很可能会在中国看到。它的工作原理是：先通过大量的统治者控制的媒体渠道对抗议者进行抹黑，让更多人相信抗议者是在“搞破坏、危害大众生活”，然后发动举报、甚至悬赏举报。这不仅孤立了反抗者、让反抗者难以动员社会，甚至让反抗思想本身陷入危机——人们彼此间不再信任，因为不知道谁在什么时候会成为当局的告密者。对于反抗者来说这是个重要的问题，您的运动必需有自己的、影响力足够大的媒介（网站、频道、社交媒体、发言人等），在我们提供的《直接行动分布指南》中“角色分配”项目中包含。并且，您还要知道该怎么做：如何与媒体互动才能避免被利用、在被官方抹黑时如何及时批驳，一旦被捕，如何面对警察，等等。未来我们将逐步介绍每一件事的注意事项。