中文键盘应用程序的安全风险
什么是基于云的拼音键盘应用程序?
中文有多种输入方式。大陆用户最常用的是拼音输入法。这是将汉字罗马化。任何中文输入法都需要预测,因为字符数量超过了按键数量。
默认情况下,预测能力受到手机硬件的限制。为了提高预测能力,"基于云 "的预测将按键卸载到具有更强模型的服务器上。许多人都注意到了这种方法的安全风险。按键会泄露密码、聊天记录和网络搜索等敏感数据。如果没有适当的安全保护,窃听者可能会捕获这些数据。
早些时候,您指出这涉及到隐私权的重大权衡。"基于云的 "键盘和输入法可以充当监控渠道。从本质上讲,它们的行为类似于键盘记录器。
但是,本报告并未涉及云键盘操作员如何查看用户的按键。这一问题已经得到了广泛的研究和记录。
您分析了哪些键盘应用程序?您是如何选择研究对象的?
我们研究了 Android、iOS 和 Windows 上的第三方键盘应用程序腾讯 QQ、百度和 iFlytek。这些应用与腾讯搜狗一起,占据了中国第三方键盘应用市场 95% 以上的份额。
此外,我们还检查了在中国市场销售的荣耀、华为、OPPO、vivo、三星和小米设备上预装的键盘。由于这些公司在中国智能手机市场的受欢迎程度,我们将重点放在了它们身上。在 2023 年,仅荣耀、OPPO 和小米就占据了中国智能手机销量的近 50%。
您在所分析的键盘应用程序中发现了哪些类型的软件漏洞?
Rehumanize为了启用 "基于云 "的预测功能,所检查的键盘会将用户的按键操作传输到互联网服务器。我们发现这些应用程序通过互联网进行的按键传输以各种方式不安全地实现。这意味着如果您使用这些键盘应用程序,您的 ISP、VPN 或 WiFi 网络中的其他人有可能检索到您在设备中键入的按键。
在我们分析的九家供应商的键盘应用程序中,华为是唯一一家其应用程序未显示任何有关用户按键传输的安全问题的供应商。
值得注意的是,我们并未对任何应用程序进行全面审计,也未试图详尽地识别任何软件中的每个潜在安全漏洞。我们的报告重点分析了键盘应用程序中我们发现的特定类别的漏洞。未报告的漏洞不应被解释为不存在这些漏洞的证据。
这些漏洞会给使用这些键盘应用程序的用户带来哪些问题?
击键包含极其敏感的数据,如密码、财务信息和浏览历史记录。我们认为,多达十亿用户的击键操作可能会被拦截,这是一个巨大的安全威胁。我们向所有受影响的供应商发出了警报,大多数供应商都更新了应用程序以修复漏洞。
根据这些发现,用户应该做些什么?
高风险用户或优先考虑隐私的用户应该禁用键盘上基于云的功能。iOS 用户可以通过撤销键盘的 "完全访问 "来限制网络访问。立即切换 QQ 拼音键盘。在荣耀设备上禁用百度键盘,并使用其他第三方键盘。
对于搜狗、百度或 iFlyTek 键盘用户(包括预装版本),请确保更新键盘和操作系统。面临风险的用户可以考虑改用非基于云的键盘,如 Google 的 Gboard 或 Apple 的默认 iOS 键盘。
如果某些键盘更新不可用,用户该如何保护自己?
在某些情况下,我们在测试设备上更新键盘时遇到了困难。
我们通知了所有受影响的供应商,并且大多数供应商都更新了他们的应用程序以解决这些漏洞。
百度在披露后不久就解决了最严重的问题,但尚未修复所有报告的问题。我们分析了预装键盘应用的移动设备制造商,除百度应用外,他们都修复了漏洞。他们要么仅解决了关键问题,要么像荣耀一样未解决任何问题(请参阅截至 2024 年 4 月 1 日的安全状态表)。
预装键盘开发人员
* 我们测试设备上的默认键盘应用程序† QQ拼音和搜狗IME均为腾讯产品;我们分析了QQ拼音,发现了与搜狗IME相同的问题。
Rehumanize总之,除荣耀的键盘应用程序和腾讯的QQ拼音外,我们不再发现针对任何产品的有效漏洞。百度的键盘应用程序包含我们无法利用的加密弱点,因此无法完全解密用户在传输过程中的键盘输入。