中国键盘APP藏安全漏洞麻省理工：用户内容恐外泄

2024年4月25日发表

【人民报消息】美国麻省理工学院出版的《麻省理工科技评论》（MIT Technology Review）近日刊文示警，几乎每个中国键盘应用程式都存在泄漏用户输入内容的安全漏洞，这些APP的加密漏洞（encryption loophole），使近10亿人暴露在遭窃听私人对话的风险当中。不少人因为觉得手机预设的键盘太过单调，而另行下载有著各种输入法，或新奇外观介面的键盘APP，不过《麻省理工科技评论》24日刊文示警，世界各地中国人或说中文的人，使用的几乎所有键盘APP都存在安全漏洞，可以监视使用者的输入内容，「根据加拿大多伦多大学蒙克国际研究中心的公民实验室（the Citizen Lab）研究人员指出，该漏洞允许这些APP发送到云端的击键纪录（记录键盘按下的每个按键）被拦截，该漏洞已存在多年，并且可能已被网路犯罪分子和国家监控组织利用」研究人员还特别点名中国百度、腾讯和科大讯飞所开发的键盘APP。此外，研究人员还研究了在中国销售的安卓系统（Android）手机上预先安装的键盘APP，发现不仅是第三方APP，每部预先安装键盘的安卓手机，都未能透过正确加密使用者输入的内容来保护使用者。事实上，早在2023年8月，研究人员就发现在中国市场主流、且多会被预先安装至安卓手机的汉语拼音输入法「搜狗拼音输入法」，在将击键纪录传输到其云端伺服器，以进行更好的「预测字词」时，没有使用「传输层安全性协定」（TLS，一种广泛采用的国际加密协议，目的是为网际网路通讯提供安全及资料完整性保障），导致击键内容容易被第三方搜集并解密。尽管搜狗去年表示，已修复这些问题，但现在还是部分手机预先安装的搜狗键盘没有更新至最新版本，因此还是容易被窃听。公民实验室高级研究员诺克尔（Jeffrey Knockel）直言，这些漏洞并不难被利用，只要了解这个漏洞，根本不需要超级电脑来破解，只需要连上Wi-Fi就能「攻击」另一个人，「这些漏洞不但容易被利用，还能获得巨大回报，因为一个人输入的内容可能包括银行帐户密码或机密资料，也因此使的这个问题更加严重」亚利桑那州立大学网路安全与密码学副教授克兰德尔（Jedidiah Crandall）也表示，「由于解密讯息不需要太多努力，因此这种类型的漏洞可能成为有心人士，甚至组织对群体进行大规模监视的绝佳目标。」《麻省理工科技评论》表示，公民实验室的人员发现此一问题后，就向开发这些键盘APP的公司取得联系，大部分漏洞都已得到修复，但有一些公司至今没有给出回应，因此该漏洞仍然存在于一些APP和手机，以及尚未更新到最新版本的键盘APP。 △ （自由时报）