電子報 简体版
 
中國鍵盤APP藏安全漏洞 麻省理工:用戶內容恐外洩
 
2024年4月25日發表
 
【人民報消息】美國麻省理工學院出版的《麻省理工科技評論》(MIT Technology Review)近日刊文示警,幾乎每個中國鍵盤應用程式都存在洩漏用戶輸入內容的安全漏洞,這些APP的加密漏洞(encryption loophole),使近10億人暴露在遭竊聽私人對話的風險當中。 不少人因為覺得手機預設的鍵盤太過單調,而另行下載有著各種輸入法,或新奇外觀介面的鍵盤APP,不過《麻省理工科技評論》24日刊文 示警,世界各地中國人或說中文的人,使用的幾乎所有鍵盤APP都存在安全漏洞,可以監視使用者的輸入內容,「根據加拿大多倫多大學蒙克國際研究中心的公民實驗室(the Citizen Lab)研究人員指出,該漏洞允許這些APP發送到雲端的擊鍵紀錄(記錄鍵盤按下的每個按鍵)被攔截,該漏洞已存在多年,並且可能已被網路犯罪分子和國家監控組織利用」研究人員還特別點名中國百度、騰訊和科大訊飛所開發的鍵盤APP。 此外,研究人員還研究了在中國銷售的安卓系統(Android)手機上預先安裝的鍵盤APP,發現不僅是第三方APP,每部預先安裝鍵盤的安卓手機,都未能透過正確加密使用者輸入的內容來保護使用者。事實上,早在2023年8月,研究人員就發現在中國市場主流、且多會被預先安裝至安卓手機的漢語拼音輸入法「搜狗拼音輸入法」,在將擊鍵紀錄傳輸到其雲端伺服器,以進行更好的「預測字詞」時,沒有使用「傳輸層安全性協定」(TLS,一種廣泛採用的國際加密協議,目的是為網際網路通訊提供安全及資料完整性保障),導致擊鍵內容容易被第三方蒐集並解密。儘管搜狗去年表示,已修復這些問題,但現在還是部分手機預先安裝的搜狗鍵盤沒有更新至最新版本,因此還是容易被竊聽。 公民實驗室高級研究員諾克爾(Jeffrey Knockel)直言,這些漏洞並不難被利用,只要了解這個漏洞,根本不需要超級電腦來破解,只需要連上Wi-Fi就能「攻擊」另一個人,「這些漏洞不但容易被利用,還能獲得巨大回報,因為一個人輸入的內容可能包括銀行帳戶密碼或機密資料,也因此使的這個問題更加嚴重」亞利桑那州立大學網路安全與密碼學副教授克蘭德爾(Jedidiah Crandall)也表示,「由於解密訊息不需要太多努力,因此這種類型的漏洞可能成為有心人士,甚至組織對群體進行大規模監視的絕佳目標。」 《麻省理工科技評論》表示,公民實驗室的人員發現此一問題後,就向開發這些鍵盤APP的公司取得聯繫,大部分漏洞都已得到修復,但有一些公司至今沒有給出回應,因此該漏洞仍然存在於一些APP和手機,以及尚未更新到最新版本的鍵盤APP。 △ (自由時報)
 
分享:
 
人氣:11,176
 

如果您喜歡本文章,歡迎捐款和支持!
 
  

 
 
 
長沙正午變黑夜 再現末日大片場景!廣東閃電擊倒黨旗 又一凶兆指向中共
長沙正午變黑夜 再現末日大片場景!廣東閃電擊倒黨旗 又一凶兆指向中共
中國三個月內46萬家餐飲店消失;中共斂財新招!重慶換「智能」燃氣表,
中國三個月內46萬家餐飲店消失;中共斂財新招!重慶換「智能」燃氣表,
「遙遙領先」出大事了! 華為問界M7碰撞爆燃 車門打不開  悲劇了!
「遙遙領先」出大事了! 華為問界M7碰撞爆燃 車門打不開 悲劇了!
強大龍捲風襲擊廣州 場景宛如世界末日!超大冰雹大於拳頭!
強大龍捲風襲擊廣州 場景宛如世界末日!超大冰雹大於拳頭!

 
人民報網站服務條款
 
關於我們
 
反饋信箱:[email protected]