zombie
> > > >
> > > >

打字內容看光光!多種「輸入法軟體」驚傳嚴重漏洞,恐近 10 億用戶中槍

2024/04/29 15:49
打字內容看光光!多種「輸入法軟體」驚傳嚴重漏洞,恐近 10 億用戶中槍

加拿大多倫多大學的蒙克國際研究中心的跨學科實驗室「公民實驗室(Citizen Lab)」的最新研究在八家公司科技公司的雲端拼音輸入法中發現了一系列嚴重漏洞,該漏洞允許網路監聽者可以輕易攔截使用者輸入的內容,導致使用者輸入的一切內容一覽無遺,造成重大隱私及資安風險,尤其對加密貨幣產業人士與投資人而言,造成的影響可能尤為嚴重。

根據公民實驗室的報告,這八家公司包括:百度、榮耀、訊飛、OPPO、三星、騰訊、Vivo 和小米等。

公民實驗室表示:

「分析結果指出,九家廠商中,有八家輸入法軟體包含嚴重漏洞,使我們得以完整破解廠商設計用於保護使用者輸入內容的加密法。亦有部分廠商並未使用任何加密法保護使用者輸入內容。綜合本研究和我們先前研究中發現的搜狗輸入法漏洞,我們估計至多有十億用戶受到這些漏洞影響。」

此外,該組織已向受影響的九家開發商提交漏洞細節,大部分開發人員都認真看待問題並予以回應,修補了漏洞,但仍有少數輸入法未修補漏洞。

公民實驗室在報告中總結道:

「除了榮耀以外,我們發現的加密破解方法經過廠商修補後,都已無效。而在榮耀手機以外廠牌的百度輸入法中,仍持續存在加密的弱點,但我們暫時還未找到方法可以利用這些弱點破解傳輸中的用戶輸入內容。」

針對此次大規模網路安全事件,安全公司慢霧創辦人余弦在 X 上評論道,用系統自備輸入法是一種減少攻擊面的好習慣(當然,如果系統輸入法被發現有風險而遲遲不解決,那也得注意)。另一方面,礦池 F2Pool 與 Cobo 創辦人神魚也呼籲受影響用戶立即採取措施降低風險。

join Zombit

加入桑幣的社群平台,跟我們一起討論加密貨幣新資訊!

桑幣熱門榜

zombie

桑幣正在徵文中,我們想要讓好的東西讓更多人看見!
只要是跟金融科技、區塊鏈及加密貨幣相關的文章,都非常歡迎向我們投稿
投稿信箱:[email protected]

為提供您更多優質的服務與內容,本網站使用 cookies 分析技術。若您繼續閱覽本網站內容,即表示您同意我們使用 cookies,關於更多相關隱私權政策資訊,請閱讀我們的隱私權及安全政策宣示