知名加密礦池F2Pool聯合創始人神魚4月29日在推特發出警告稱,多達10億用戶的雲輸入法可能已經泄露輸入內容。他表示,中國8家輸入法軟體存嚴重漏洞,須謹慎加密貨幣錢包私鑰外泄。
神魚提到,逾10億用戶的雲端拼音輸入法軟體可能已泄露輸入內容,如果用戶通過下文分析中的輸入法,輸入過錢包記助詞或其他敏感信息,他呼籲採取相應措施以降低遭黑客入侵風險。
根據神魚的推文引述,數字監督組織公民實驗室(The Citizen Lab)分析了9家提供軟體的公司,包括百度、榮耀、華為、訊飛、OPPO、三星、騰訊、VIVO和小米,其中8家的輸入法軟體包含嚴重的漏洞,僅華為倖免於難。
綜合先前研究中發現的搜狗輸入法漏洞,估計至少有10億用戶受到漏洞影響,基於以下原因,用戶輸入內容可能已經遭大規模搜集。
據The Citizen Lab提出的擔憂,漏洞影響廣泛的用戶群體;用戶在鍵盤中輸入的信息極為敏感;發現這些漏洞不需要高深的技術;五眼聯盟(Five Eyes)過去曾利用中國應用程式中類似的漏洞實施監控。
五眼聯盟是由澳大利亞、加拿大、紐西蘭、英國以及美國五個國家組成,在英美協定下組成的國際情報分享團體。
在9家提供軟體的應用程式測試中,僅有華為的產品未發現上傳用戶輸入內容至雲端相關的安全問題,其他每個軟體至少都會有一個應用程式含有漏洞,使得被動型網絡攻擊者得以監看用戶輸入的完整內容。
另一方面,蘋果iOS系統在測試中沒有出現漏洞問題。
主動型網絡監聽攻擊必須主動發出信號,例如在信息傳輸過程中竄改少數數據,才能破解加密內容,而主動型網絡監聽相對容易被偵測到。
被動型網絡監聽攻擊無需發出任何訊號,單純讀取傳輸中的數據,即可達成解密。兩者相比之下,被動型網絡監聽攻擊較難被偵測到。
在測出漏洞後,The Citizen Lab將漏洞資訊提交給軟體公司。但據了解,有些公司已修補其中幾個較嚴重的漏洞,有些廠商則是完全未修補。
為了提高安全意識,The Citizen Lab提出建議,搜狗、QQ、百度、訊飛輸入法的用戶,無論輸入法是手動從應用程式商店安裝或者原本就內置在作業系統當中,應確保輸入法及作業系統維持在最新版本。
該機構也指出,顧慮隱私的用戶應停用任何輸入法中的雲端功能,顧慮隱私的蘋果iOS用戶不要啟動輸入法的「允許完整訪問權」。
