https://github.com/citizenlab/reports/blob/main/2024-04-not-so-silent-type.pdf
一系列云端输入法漏洞使网络攻击者得以监看个人用户的输入内容 
1 个赞
来自kimi对论文的总结:
这篇论文的核心研究结果是对九个不同供应商的云端拼音键盘应用(IME)的安全性进行了分析,发现了其中八个供应商的应用存在严重的安全漏洞。这些漏洞可能导致用户的按键输入在传输过程中被网络监听者完全揭露。具体来说,研究发现:
- 分析了九个供应商(百度、荣耀、华为、科大讯飞、OPPO、三星、腾讯、Vivo和小米)的基于云的拼音键盘应用,发现除了华为之外,其他八个供应商的应用都存在可以被利用的安全漏洞,允许完全揭露用户按键内容。
- 估计约有十亿用户受到这些漏洞的影响,特别是搜狗、百度和科大讯飞的IME占据了中国市场第三方IME超过95%的份额。
- 报告了这些漏洞给所有九个供应商,大多数供应商做出了响应,认真对待并修复了报告的漏洞,尽管一些键盘应用仍然存在漏洞。
- 报告建议用户安装键盘应用的最新更新,并保持移动操作系统的最新状态。对于处于风险中的用户,建议考虑从基于云的键盘应用切换到完全在设备上运行的键盘应用。
读者在阅读完这篇论文后需要注意以下事项:
- 立即更新所有键盘应用和操作系统至最新版本。
- 考虑切换到不依赖云端功能的键盘应用,以减少隐私泄露的风险。
- 意识到即使在报告和修复后,一些应用可能仍然存在漏洞,特别是那些不再接收更新的应用。
- 对于使用特定供应商键盘应用的用户,如荣耀设备上的“百度输入法荣耀版”或腾讯的“QQ Pinyin”,建议立即更换键盘应用。
- 对于使用百度IME键盘的用户,建议切换到不同的键盘或禁用“基于云”的功能。
此外,论文还提出了一系列建议,旨在减少未来应用程序中可能出现的类似漏洞,这些建议针对不同的利益相关者,包括安全研究人员、国际标准机构、应用商店运营商、键盘应用开发者、移动操作系统开发者以及设备制造商。
根据提供的文件内容,以下是对每种输入法安全状况的具体分析:
- 腾讯(Tencent):
- QQ拼音输入法(QQ Pinyin):在Android和Windows版本中发现了漏洞,与之前分析的搜狗输入法(Sogou IME)存在相同的问题。
- 百度(Baidu):
- 百度输入法(Baidu IME):在Windows、Android和iOS版本中发现了加密传输的漏洞。特别是Windows版本使用了较弱的协议,允许网络监听者解密网络传输。
- 科大讯飞(iFlytek):
- 科大讯飞输入法(iFlytek IME):Android版本存在漏洞,允许网络监听者恢复加密传输的明文,而iOS和Windows版本是安全的。
- 三星(Samsung):
- 三星键盘(Samsung Keyboard):在三星设备上,当使用拼音输入法时,发现三星键盘通过HTTP明文传输按键数据。
- 华为(Huawei):
- 华为的键盘应用:在测试的华为Mate 50 Pro设备上,华为的键盘应用使用TLS加密按键数据,没有发现传输用户按键的漏洞。
- 小米(Xiaomi):
- 小米设备上预装的百度输入法小米版(Baidu IME Xiaomi Version)、搜狗输入法小米版(Sogou IME Xiaomi Version)和讯飞输入法小米版(iFlytek IME Xiaomi Version):这些应用都存在漏洞,允许网络监听者解密网络传输。
- OPPO:
- 预装在OPPO设备上的百度输入法定制版(Baidu IME Custom Version)和搜狗输入法定制版(Sogou IME Custom Version):这些应用存在漏洞,允许网络监听者解密网络传输。
- Vivo:
- 预装在Vivo设备上的搜狗输入法定制版(Sogou IME Custom Version):存在漏洞,允许网络监听者解密网络传输。
- 荣耀(Honor):
- 预装在荣耀设备上的百度输入法荣耀版(Baidu IME Honor Version):存在漏洞,允许网络监听者解密网络传输。
报告中还提到,尽管已经向所有供应商报告了这些漏洞,但截至2024年4月1日,一些供应商(如Baidu、Vivo和Xiaomi)尚未完全解决报告的问题。报告建议用户保持应用程序和操作系统的最新状态,并考虑切换到完全在设备上运行的键盘应用以保护隐私。同时,报告还提出了一系列针对不同利益相关者的建议,以减少未来应用程序中可能出现的类似漏洞。
师傅别讲了,我在rime群里也多次讲过,现在包括使用rime引擎的多款输入法对隐私的保护也是不够的。
用户都以为不联网数据就安全了,事实上数据明文存储本地,没有任何加密和权限保护措施,只要有人做针对性收集数据的工具那就是一锅端。
一切默认即可解决焦虑,rime不记录词频,搜狗等等不上云、不记录词频、不联想
就是太难用了,所以,隐私……还是往后稍稍吧
rime 词频是我认为最无用的功能,这意味着你永远无法靠记忆盲选。
3 个赞
苹果呢苹果呢,被放过了么
同一家研究机构以前的报告,该问题在 iOS 设备上也出现:
至于自带输入法嘛,倒是没爆出什么大的加密漏洞,一般应用应该也没法知道你输入的内容。
当然,苹果可以收集用户的全部输入,并且他们很可能正在这么做。
現在用拼音的還有盲選派嗎?
rime 又不等于拼音
用形碼的應該都會關掉吧。
重码率低的都受影响
如果看过输入法协议就知道了.
现在暴露的漏洞是: 输入法内容可能被第三方获取.
一直存在的情况是: 输入法内容可以被手机或输入法厂商获取.
1 个赞
加密了又如何,厂商还是能看到,用户输入这种算是比较关键的隐私了,约等于键盘记录器
其他软件获取本地储存路径并上传词频文件导致泄露,与rime本身有关
可以使用火绒等设置规则拦截部分违规行为
我来总结下:
如果你安装了各类电脑管家,这个问题你不用关心。
如果你经常玩有 SGuard 的企鹅系游戏,这个问题你不用关心。
同样的,有 AlibabaProtect 的阿里系软件,也无需费心。更何况阿里现在是国企。
至于那些大厂输入法,你要是能不用这些国产精品,倒是可以考虑换成开源输入法。
如果本地读硬盘,那就很麻烦了,理论上所有不加密的数据,只要能读都能传了。
你不在输入法里面暴露的隐私也会在其他的app里面暴露
我只能说…都用了那么久了…该知道的也知道了…没差别啦 
1 个赞