对于数亿中国人来说,他们在新笔记本电脑或智能手机上下载的第一个软件始终是相同的:键盘应用程序。然而,他们中很少有人意识到,这可能会让他们输入的所有内容都容易受到监视。
多伦多大学附属研究小组公民实验室最近发布的一份报告显示,最受欢迎的中文键盘应用程序之一的搜狗存在巨大的安全漏洞。搜狗的加密系统可以被利用来拦截和解密人们正在输入的内容。 不能保证这是该应用程序中的唯一漏洞,研究人员也没有检查中国市场上其他流行的键盘应用程序,这意味着这款无处不在的软件将继续对数亿人构成安全风险。
研究人员发现,并非每个单词都会传输到云端。“如果你输入nihao [中文‘你好’] 或类似的内容,[应用程序] 可以回答这个问题,而无需使用云数据库,”Knockel 说。“但如果你输入的内容更复杂,坦率地说,更有趣,它就必须访问云数据库。”
除了输入内容外,Knocker 和他的公民实验室同事还获得了其他信息,例如用户设备的技术标识符、进行输入的应用程序,甚至设备上安装的应用程序列表。
研究人员指出,许多恶意行为者都会有兴趣利用这样的漏洞并窃听击键,从获取私人信息(如街道地址和银行帐号)的网络犯罪分子到政府黑客。 一旦键盘应用程序遭到破坏,即使是其他离线应用程序(例如内置笔记本应用程序)也可能构成安全风险。
其他政府似乎也一直在关注加密数据传输的漏洞。例如,爱德华·斯诺登 (Edward Snowden) 2012 年泄露的一份文件显示,由加拿大、美国、英国、澳大利亚和新西兰组成的五眼情报联盟一直在谨慎地利用中国流行程序 UC 浏览器中的类似漏洞,拦截某些传输。
除了成为国家行为者的目标之外,通过键盘应用程序获取的击键信息还可以通过其他方式被出售、泄露或黑客攻击。2021年,有报道称广告商可以通过搜狗以及百度键盘和类似应用程序访问个人信息,并用其推送定制广告。
正如诺克尔指出的那样,使用搜狗和类似的应用程序总是会带来安全风险,特别是在中国,因为所有中国应用程序都必须在政府要求的情况下交出数据。
- 维权律师卢思位在老挝被捕 傅希秋:中共长臂管辖无处不在
- 北京多家青旅拒年逾35岁入住 网民炮轰歧视无处不在
- 中国打压无处不在,法国一文化活动拒绝台湾团体参加
- 惊!中共洗脑无处不在 英国在华名校学生也穿中共军服唱爱国诗
- 生活中辐射“无处不在”,六招助您远离它
法国犹太老板:神告诉我们,只有一位中国人能救人类
华人必看:中华文化的飓风 幸福感无法描述
解锁ChatGPT|全平台高速翻墙:高清视频秒开,超低延迟
探寻中华复兴之路,必看章天亮博士《中华文明史》
免费PC翻墙、安卓VPN翻墙APP
—— 麻省理工科技评论 (https://www.technologyreview.com/2023/08/21/1078207/sogou-keyboard-app-security-loophole/) (节选)
