中國鍵盤APP藏安全漏洞麻省理工：用戶內容恐外洩

2024年4月25日發表

【人民報消息】美國麻省理工學院出版的《麻省理工科技評論》（MIT Technology Review）近日刊文示警，幾乎每個中國鍵盤應用程式都存在洩漏用戶輸入內容的安全漏洞，這些APP的加密漏洞（encryption loophole），使近10億人暴露在遭竊聽私人對話的風險當中。不少人因為覺得手機預設的鍵盤太過單調，而另行下載有著各種輸入法，或新奇外觀介面的鍵盤APP，不過《麻省理工科技評論》24日刊文示警，世界各地中國人或說中文的人，使用的幾乎所有鍵盤APP都存在安全漏洞，可以監視使用者的輸入內容，「根據加拿大多倫多大學蒙克國際研究中心的公民實驗室（the Citizen Lab）研究人員指出，該漏洞允許這些APP發送到雲端的擊鍵紀錄（記錄鍵盤按下的每個按鍵）被攔截，該漏洞已存在多年，並且可能已被網路犯罪分子和國家監控組織利用」研究人員還特別點名中國百度、騰訊和科大訊飛所開發的鍵盤APP。此外，研究人員還研究了在中國銷售的安卓系統（Android）手機上預先安裝的鍵盤APP，發現不僅是第三方APP，每部預先安裝鍵盤的安卓手機，都未能透過正確加密使用者輸入的內容來保護使用者。事實上，早在2023年8月，研究人員就發現在中國市場主流、且多會被預先安裝至安卓手機的漢語拼音輸入法「搜狗拼音輸入法」，在將擊鍵紀錄傳輸到其雲端伺服器，以進行更好的「預測字詞」時，沒有使用「傳輸層安全性協定」（TLS，一種廣泛採用的國際加密協議，目的是為網際網路通訊提供安全及資料完整性保障），導致擊鍵內容容易被第三方蒐集並解密。儘管搜狗去年表示，已修復這些問題，但現在還是部分手機預先安裝的搜狗鍵盤沒有更新至最新版本，因此還是容易被竊聽。公民實驗室高級研究員諾克爾（Jeffrey Knockel）直言，這些漏洞並不難被利用，只要了解這個漏洞，根本不需要超級電腦來破解，只需要連上Wi-Fi就能「攻擊」另一個人，「這些漏洞不但容易被利用，還能獲得巨大回報，因為一個人輸入的內容可能包括銀行帳戶密碼或機密資料，也因此使的這個問題更加嚴重」亞利桑那州立大學網路安全與密碼學副教授克蘭德爾（Jedidiah Crandall）也表示，「由於解密訊息不需要太多努力，因此這種類型的漏洞可能成為有心人士，甚至組織對羣體進行大規模監視的絕佳目標。」《麻省理工科技評論》表示，公民實驗室的人員發現此一問題後，就向開發這些鍵盤APP的公司取得聯繫，大部分漏洞都已得到修復，但有一些公司至今沒有給出回應，因此該漏洞仍然存在於一些APP和手機，以及尚未更新到最新版本的鍵盤APP。 △ （自由時報）