在 Citizen Lab 测试的九家厂商的应用程序中,仅有华为的产品未发现任何上传用户输入内容至云端相关的安全问题,其余每一家厂商都至少有一个应用程序含有漏洞,使得被动型网络攻击者得以监看用户输入的完整内容。
在 Citizen Lab 向各厂商提交了所发现的漏洞。除了百度、Vivo 和小米,其余厂商都回复了。在提交这些漏洞不久之后,百度仅修复了当中最严重的几个,但并未修补其余漏洞。
总结来说,除了荣耀以外发现的加密破解方法在经过厂商修补后,均已无效。而在荣耀手机以外厂商的百度输入法中,仍持续存在加密的弱点,但暂时还未找到方法可以利用这些弱点破解传输中的用户输入内容。
Citizen Lab给普通用户的建议:
•使用搜狗、QQ、百度、讯飞输入法的用户,应确保输入法及操作系统维持在最新版本。
•顾虑隐私的用户应停用任何输入法中的云端功能。
•顾虑隐私的 iOS 用户不要启用第三方输入法的「允许完整访问权」。
报告摘要
完整版报告(英文)
