十亿用户使用的键盘应用程序被发现存在暴露击键的缺陷

导读研究实验室CitizenLab在常用的键盘应用程序中发现了一个漏洞，估计影响了数量惊人的用户。该缺陷是在用于使用拼音书写系统输入汉字的键盘应...

研究实验室CitizenLab在常用的键盘应用程序中发现了一个漏洞，估计影响了数量惊人的用户。

该缺陷是在用于使用拼音书写系统输入汉字的键盘应用程序中发现的。研究人员分析了来自九家供应商的应用程序——百度、荣耀、华为、科大讯飞、OPPO、三星、腾讯、Vivo和小米。接受检查的设备在中国销售。

结果发现，三星键盘没有执行任何类型的加密，并且大多数其他键盘也没有使用非对称加密技术。

由于创建允许用户快速轻松地输入汉字的键盘是一项挑战，因此许多应用程序(包括研究人员分析的应用程序)都提供基于云的预测。包含此功能意味着输入的任何内容都会发送到其他地方的服务器。

在公民实验室分析的所有拼音键盘应用程序中，除华为之外的所有应用程序都被发现存在可被利用来泄露用户输入内容的漏洞。该缺陷本质上将基于云的键盘变成了键盘记录器。

这些漏洞可以被被动网络窃听者利用，而不会干扰通信通道，从而使其难以检测。

像这样的缺陷可以让你读取某人在其设备上输入的内容，这可能会引起包括政府情报机构在内的各种参与者的兴趣。研究人员担心，他们可能不是第一个发现这些漏洞的人，而且这些漏洞可能已被用于监视目的。

标签：

免责声明：本文由用户上传，如有侵权请联系删除！