知名加密货币矿池F2Pool的联合创始人沈宇周一(4月29日)在推特上发出警告,称多达10亿用户使用的云端输入法可能泄露了输入数据。他强调说,中国的八款输入法软件存在严重漏洞,必须小心谨慎,防止加密货币钱包私钥泄露。
沈宇指出,有超过十亿用户使用的基于云计算的拼音输入法软件可能泄露了输入内容。如果用户使用下面讨论的输入法输入了钱包记忆词组或其他敏感信息,他敦促用户采取适当措施,降低黑客入侵的风险。
根据沈宇的推文,引用公民实验室的数据,共分析了九家提供软件的公司,包括百度、荣耀、华为、iFlytek、OPPO、三星、腾讯、VIVO 和小米。其中八家公司的输入法软件存在严重漏洞,只有华为公司幸免于难。
综合以往的研究,包括搜狗输入法中发现的漏洞,估计至少有 10 亿用户受到影响。原因包括可能会大规模收集用户输入数据。
公民实验室担心,这些漏洞会影响广泛的用户群;键盘上键入的信息高度敏感;发现这些漏洞并不需要高级技术技能;过去,"五眼联盟 "曾利用中国应用程序中的类似漏洞进行监控。
五眼联盟由澳大利亚、加拿大、新西兰、英国和美国组成,是根据《UKUSA 协定》成立的国际情报共享组织。
在对九家软件供应商的应用软件进行的测试中,只有华为的产品没有发现与将用户输入内容上传到云端有关的安全问题。其他每个软件应用程序都至少存在一个漏洞,使被动网络攻击者能够监控用户输入的全部内容。
相反,苹果公司的 iOS 系统在测试中没有发现任何漏洞。
主动网络窃听攻击需要发出信号,如在信息传输过程中修改少量数据,以解密加密内容,相对更容易被发现。
被动网络窃听攻击不需要发出任何信号,只需在传输过程中读取数据即可解密,因此更难被发现。
发现漏洞后,公民实验室将信息提交给了软件公司。不过,据了解,一些公司已经修补了一些比较严重的漏洞,而另一些公司则没有进行任何修复。
为了提高安全意识,公民实验室建议搜狗、QQ、百度和 iFlytek 输入法的用户,无论是从应用商店手动安装还是预装在操作系统上,都应确保其输入法和操作系统保持最新。
该组织还指出,注重隐私的用户应禁用输入法中的任何云功能,注重隐私的苹果 iOS 用户不应在输入法中启用 "完全访问 "功能。