#互联网观察

▎多达十亿用户的云输入法可能已泄露输入内容

来自多伦多大学的公民实验室分析了来自九家供应商（百度、荣耀、华为、科大讯飞、OPPO、三星、腾讯、Vivo 和小米）的基于云的拼音键盘应用程序的安全性，并检查了它们传输用户击键的漏洞。

分析结果指出，九家厂商中，有八家输入法软件包含严重漏洞，使我们得以完整破解厂商设计用于保护用户输入内容的加密法。亦有部分厂商并未使用任何加密法保护用户输入内容。

综合本研究和我们先前研究中发现的搜狗输入法漏洞，我们估计至多有十亿用户受到这些漏洞影响。基于下述原因，我们认为用户输入的内容可能已经遭到大规模收集：

这些漏洞影响了广泛的用户群体
用户在键盘中输入的信息极为敏感
发现这些漏洞不需要高深技术
五眼联盟过去曾利用中国应用程序中类似的漏洞施行监控

该实验室已向受影响的九家开发商提交这些漏洞，大部分开发商均认真看待问题并予以回应，修补了漏洞，但仍有少数输入法未修补漏洞。

▎报告链接

中文摘要版：点击此处查看
英文全文版：点击此处查看

该新闻为慢讯，频道 @AppDoDo