一系列云端输入法漏洞使网络攻击者得以监看个人用户的输入内容

一系列云端输入法漏洞使网络攻击者得以监看个人用户的输入内容分析结果指出，九家厂商中，有八家输入法软件包含严重漏洞，使我们得以完整破解厂商设计用于保护用户输入内容的加密法。亦有部分厂商并未使用任何加密法保护用户输入内容。1，主动和被动型网络监听者均可以破解加密的用户输入内容，已被我们成功实测2，主动型网络监听者可以破解加密的用户输入内容，已被我们成功实测3，!加密法实操中存在弱点4，未发现问题5，N/A该产品在我们测试的设备上不提供或是不存在6，*在我们的测试设备上，此为默认的输入法链接：让你们用搜狗，用国内的输入法，阿喵我现在已经完全拥抱rime了rime：https://www.appmiu.com/3773.html#输入法#网络安全

▎多达十亿用户的云输入法可能已泄露输入内容

#互联网观察▎多达十亿用户的云输入法可能已泄露输入内容来自分析了来自九家供应商（百度、荣耀、华为、科大讯飞、OPPO、三星、腾讯、Vivo和小米）的基于云的拼音键盘应用程序的安全性，并检查了它们传输用户击键的漏洞。分析结果指出，九家厂商中，有八家输入法软件包含严重漏洞，使我们得以完整破解厂商设计用于保护用户输入内容的加密法。亦有部分厂商并未使用任何加密法保护用户输入内容。综合本研究和我们先前研究中发现的搜狗输入法漏洞，我们估计至多有十亿用户受到这些漏洞影响。基于下述原因，我们认为用户输入的内容可能已经遭到大规模收集：这些漏洞影响了广泛的用户群体用户在键盘中输入的信息极为敏感发现这些漏洞不需要高深技术五眼联盟过去曾利用中国应用程序中类似的漏洞施行监控该实验室已向受影响的九家开发商提交这些漏洞，大部分开发商均认真看待问题并予以回应，修补了漏洞，但仍有少数输入法未修补漏洞。▎报告链接中文摘要版：英文全文版：该新闻为慢讯，频道@AppDoDo

多伦多大学公民实验室 (The Citizen Lab) 发布报告指出：在测试的九家厂商的应用程序中，华为，百度、荣耀、讯飞、O

多伦多大学公民实验室(TheCitizenLab)发布报告指出：在测试的九家厂商的应用程序中，华为，百度、荣耀、讯飞、OPPO、三星、腾讯、VIVO和小米在内的厂商提供的输入法存在严重漏洞，这些漏洞可以被用来监视用户输入的内容。大约1亿用户受到威胁！这些输入法在网络上实时捕获用户的输入内容https://citizenlab.ca/2024/04/%E6%95%B2%E6%95%B2%E6%89%93%E6%89%93%E4%B8%80%E7%B3%BB%E5%88%97%E4%BA%91%E7%AB%AF%E8%BE%93%E5%85%A5%E6%B3%95%E6%BC%8F%E6%B4%9E%E4%BD%BF%E7%BD%91%E7%BB%9C%E6%94%BB%E5%87%BB%E8%80%85%E5%BE%97-zh-cn/

【CDT报告汇】公民实验室：几乎所有中文输入法都会泄露输入的内容（外二篇）

公民实验室调查了百度、荣耀、华为、讯飞、OPPO、三星、腾讯、VIVO和小米九家手机厂商和输入法软件公司，发现有八家提供的输入法存在严重漏洞，这些漏洞可以被用来监视用户输入的内容。

即便加密的消息应用程序也存在窃听问题 ——

即便加密的消息应用程序也存在窃听问题——2019年初，FaceTime群组通话中的一个漏洞让攻击者可以激活正在通话的iPhone的麦克风，甚至是摄像头，并在接收者做任何事之前进入窃听状态。其影响如此之大，以至于苹果完全切断了对群组通话功能的访问，直到该公司能够发布一个修复方案。这个漏洞——以及它完全不需要受害者点击的事实——吸引了娜塔莉·希尔瓦诺维奇。谷歌“零点项目”的研究员希尔瓦诺维奇说：“你可以找到一个影响很大的漏洞，你可以在没有任何互动的情况下导致一个电话被接听，这个想法很令人惊讶。我开始努力寻找其他应用程序中的这些漏洞。最后我发现了一堆这种东西。”希尔瓦诺维奇多年来一直在研究“无交互”漏洞，即不需要目标点击恶意链接、下载附件、在错误的地方输入密码或以任何方式参与其中的骇客攻击。随着有针对性的移动监控在世界各地的爆发，这些攻击的意义越来越大。近期于拉斯维加斯举行的黑帽安全会议上，希尔瓦诺维奇介绍了她对无处不在的通信应用程序（如Signal、GoogleDuo和FacebookMessenger）以及流行的国际平台JioChat和ViettelMocha的远程窃听漏洞的发现。所有这些漏洞都已被修补，希尔瓦诺维奇说，在她披露这些漏洞后的几天或几周内，开发者对修复这些漏洞反应非常积极。但是，在主流服务中发现的这类漏洞的数量之多，强调了这些缺陷是多么的普遍，以及开发人员需要认真对待。希尔瓦诺维奇说：“当我听说那个群组FaceTime的漏洞时，我以为这是一个独特的漏洞不会再发生了，但事实证明并非如此……这是我们以前不知道的事，但现在重要的是，制作通信应用程序的人要意识到这一点。你正在向你的用户做出承诺，你不会在任何时候突然开始传输他们的音频或视频，你有责任确保你的应用程序不辜负这一点”。希尔瓦诺维奇发现的漏洞提供了各种各样的窃听选项：FacebookMessenger的漏洞可能允许攻击者监听目标设备的音频；ViettelMocha和JioChat的漏洞都有可能对音频和视频进行高级访问；Signal的漏洞只暴露了音频；而GoogleDuo漏洞提供了视频访问，虽然只有几秒钟的时间。在这段时间内，攻击者仍然可以录制一些画面或抓取屏幕截图。希尔瓦诺维奇考察的应用程序都是在开源项目WebRTC的实时通信工具上建立其大部分音频和视频通话基础设施的。一些无交互的通话漏洞源于开发者似乎误解了WebRTC的功能，或者实施得不好。但希尔瓦诺维奇说，其他的缺陷来自于与何时和如何设置呼叫有关的每项服务的具体设计决定。当有人在基于互联网的通信应用上给你打电话时，系统可以立即开始在你们的设备之间建立连接，这个过程被称为establishment，所以当你点击接受时，通话可以立即开始。另一种选择是，应用程序稍等一下，等待看你是否接受呼叫，然后在知道你的偏好后花几秒钟建立通信渠道。后者在私下里更容易实现，因为可能出错的地方更少；只有在你肯定的同意之后才会建立连接。不过，大多数主流服务采取的是另一条路线，提前设置通信渠道，甚至开始发送音频和视频流等数据，以便在呼叫的接收者接听时提供近乎即时的连接。做这些准备工作本质上并没有引入漏洞，而且可以以保护隐私的方式进行。但它确实创造了更多犯错的机会。关键是要设计一个经过审查的系统，让它按照预期的方式工作。希尔瓦诺维奇说：“在视频会议方面，开发商有一些重大保证。例如，你不会在任何时候突然开始传输视频。或者静音按钮真的有用吗？很多这些错误发生的原因是，设计这些系统的人没有考虑他们在音频和视频的实际传输时间方面做出的承诺，也没有验证这些承诺是否被遵守”。希尔瓦诺维奇补充说，类似的漏洞很可能在主流通信应用程序中仍未被发现。例如，她只研究了一对一的通话，而iOS群组FaceTime的漏洞表明，群组通话可能有自己的缺陷。她强调，虽然简短的音频或视频片段在所有情况下都不一定是攻击者的金矿，但无交互的攻击往往值得尝试，因为它们看起来无害且难以被追踪。希尔瓦诺维奇说，“我发现无交互的漏洞是最有趣的一类漏洞，因为它们对攻击者来说非常有用，因为用户不需要做任何事就会中招”。