十亿用户使用的键盘应用程序被发现存在暴露击键的缺陷

导读 研究实验室CitizenLab在常用的键盘应用程序中发现了一个漏洞,估计影响了数量惊人的用户。该缺陷是在用于使用拼音书写系统输入汉字的键盘应...

研究实验室CitizenLab在常用的键盘应用程序中发现了一个漏洞,估计影响了数量惊人的用户。

该缺陷是在用于使用拼音书写系统输入汉字的键盘应用程序中发现的。研究人员分析了来自九家供应商的应用程序——百度、荣耀、、科大讯飞、OPPO、三星、腾讯、Vivo和小米。接受检查的设备在中国销售。

结果发现,三星键盘没有执行任何类型的加密,并且大多数其他键盘也没有使用非对称加密技术。

由于创建允许用户快速轻松地输入汉字的键盘是一项挑战,因此许多应用程序(包括研究人员分析的应用程序)都提供基于云的预测。包含此功能意味着输入的任何内容都会发送到其他地方的服务器。

在公民实验室分析的所有拼音键盘应用程序中,除之外的所有应用程序都被发现存在可被利用来泄露用户输入内容的漏洞。该缺陷本质上将基于云的键盘变成了键盘记录器。

这些漏洞可以被被动网络窃听者利用,而不会干扰通信通道,从而使其难以检测。

像这样的缺陷可以让你读取某人在其设备上输入的内容,这可能会引起包括政府情报机构在内的各种参与者的兴趣。研究人员担心,他们可能不是第一个发现这些漏洞的人,而且这些漏洞可能已被用于监视目的。

研究人员认为,多达十亿用户可能受到此漏洞和另一个类似漏洞的影响。这些漏洞已报告给所有供应商,大多数供应商已修复这些漏洞。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢。