据加拿大多伦多大学网络安全实验室Citizen Lab报告，中国绝大多数云输入法应用皆存在严重安全漏洞，可被黑客利用来窃取用户输入内容。

报告指出，搜狗、百度和讯飞三家厂商占到了中国第三方输入法市场的95%以上，用户数量估计超过7.8亿。同时，预装并默认使用易受攻击键盘应用的三家手机制造商——荣耀、OPPO和小米占据了2023年中国智能手机市场的近50%。

据了解，研究人员 Jeffrey Knockel、Mona Wang 和 Zoë Reichert 在来自百度、荣耀、讯飞、OPPO、三星、腾讯、vivo 和小米等厂商的云输入法应用中皆发现了安全漏洞，都可能被攻击者利用来揭示用户按键记录，而唯一未发现安全问题的厂商是华为。

具体问题总结如下：

- 腾讯QQ输入法容易受到CBC padding oracle攻击，可导致明文恢复。

- 百度输入法 BAIDUv3.1 存在加密协议漏洞，使网络监听者能够解密网络传输并提取输入文本。

- 讯飞输入法的安卓app允许网络监听者恢复未充分加密的网络传输的明文。

- 三星键盘通过明文、未加密的 HTTP 传输按键数据。

- 小米预装了百度、讯飞和搜狗的键盘应用（因此容易受到前述漏洞影响）。

- OPPO 预装了百度和搜狗的键盘应用（因此容易受到前述漏洞影响）。

- vivo 预装了搜狗输入法（因此容易受到前述漏洞影响）。

- 荣耀预装了百度输入法（因此容易受到前述漏洞影响）。

成功利用这些漏洞可能允许被动型攻击者得以监看中国手机用户输入的完整内容，而无需发送任何额外的网络流量。在Citizen Lab向上述厂商披露之后，大部分厂商都已于2024年4月1日前进行了修复。

Citizen Lab建议有隐私顾虑的用户不应启用其输入法云功能，或者应更换为不提供云功能的输入法，而有隐私顾虑的iOS用户不应为其输入法启用“完全访问”权限。

原文链接：https://citizenlab.ca/2024/04/vulnerabilities-across-keyboard-apps-reveal-keystrokes-to-network-eavesdroppers/

编辑：左右里

资讯来源：Citizen Lab

转载请注明出处和本文链接

[培训]二进制漏洞攻防（第3期）；满10人开班；模糊测试与工具使用二次开发；网络协议漏洞挖掘；Linux内核漏洞挖掘与利用；AOSP漏洞挖掘与利用；代码审计。