这是一个创建于 255 天前的主题,其中的信息可能已经有所发展或是发生改变。
###无处不在的键盘软件如何让数亿中国用户面临风险
###第三方键盘应用程序使中文输入更加高效,但它们也可能成为隐私噩梦。(转载)
对于数百万中国人来说,他们在新笔记本电脑或智能手机上下载的第一个软件始终是相同的:键盘应用程序。然而,他们中很少有人意识到,这可能会让他们输入的所有内容都容易受到监视。
由于数十个汉字可以共享相同的拉丁拼音,仅使用普通的 QWERTY 键盘效率极低。智能本地化键盘应用程序可以通过预测用户想要输入的字符和单词来节省大量时间并减少挫败感。如今,超过 8 亿中国人在个人电脑、笔记本电脑和手机上使用第三方键盘应用程序。
但多伦多大学附属研究小组公民实验室最近发布的一份报告显示,最受欢迎的中文键盘应用程序之一的搜狗存在巨大的安全漏洞。
“这是一款处理非常敏感信息的应用程序,特别是你输入的每一条信息,”公民实验室的高级研究员、该报告的合著者杰弗里·诺克尔 (Jeffrey Knockel) 说。“所以我们想更详细地研究这个问题,看看这个应用程序是否正确地加密了它通过网络发送的非常敏感的数据,或者,正如我们发现的那样,它是否以窃听者可以破译的方式进行了不当的加密?”
事实上,他和他的同事发现,搜狗的加密系统可以被利用来拦截和解密人们正在输入的内容。
2021 年被科技巨头腾讯收购的搜狗在公民实验室研究人员向该公司披露后迅速修复了这一漏洞。
“用户隐私是我们业务的基础,”搜狗发言人告诉《麻省理工科技评论》。“我们已经解决了公民实验室发现的问题,并将继续努力确保用户数据的安全。我们在隐私政策中透明地披露我们的数据处理活动,并且不会以其他方式共享用户数据。”
但不能保证这是该应用程序中的唯一漏洞,研究人员也没有检查中国市场上其他流行的键盘应用程序,这意味着这款无处不在的软件将继续对数亿人构成安全风险。令人担忧的是,这种情况的可能性使得中国用户在 Signal 等应用程序中进行的加密通信很容易受到国家监控系统的攻击。
中国设备不可或缺的一部分
键盘应用程序的正式名称为输入法编辑器 (IME),对于输入字符数多于常见拉丁字母键盘所允许的语言(例如日语、韩语或印度语字符)的语言来说是必需的。
对于中国用户来说,拥有一个输入法几乎是必需品。
“使用拉丁字母输入汉字时,有更多的歧义需要解决,”公民实验室开放技术基金研究员、该报告的另一位合著者 Mona Wang 说。因为同一个拼音可以匹配几十个甚至上百个汉字,而且这些汉字还可以通过不同的方式配对成为不同的单词,所以一个针对中文进行了微调的键盘应用程序的表现比普通的键盘应用程序要好得多。默认键盘。
从个人电脑时代开始,中国软件开发商提出了各种输入法产品来加快打字速度,有些甚至放弃拼音,允许用户绘制或选择汉字的部件。于是,下载第三方键盘软件就成了每个中国人的标准做法。
2006 年发布的搜狗输入法迅速成为国内最受欢迎的键盘应用程序。它比任何竞争对手都更有能力预测用户真正想要输入的字符或单词,并且它通过从互联网上抓取文本并维护一个广泛的中文单词库来做到这一点。基于云的库经常更新,以包含新创造的单词、趋势表达或新闻中的人物姓名。2007 年,谷歌推出中文键盘时,甚至抄袭了搜狗的词库(后来不得不道歉)。
2014 年,当 iPhone 终于首次启用第三方输入法时,中国用户争相下载搜狗键盘应用,一天之内就留下了 3000 条评论。一度超过 90%的中国 PC 用户使用搜狗。
多年来,其市场主导地位已经减弱。截至去年,百度输入法是中国排名第一的键盘应用程序,拥有 6.07 亿用户和 46.4%的市场份额。但根据分析公司 iiMedia 的数据,搜狗仍然拥有 5.61 亿用户。
暴露漏洞
键盘应用程序可以访问各种用户信息。例如,一旦搜狗被下载并添加到 iPhone 键盘选项中,该应用程序将要求“完全访问权限”。如果获得批准,用户输入的任何内容都可以发送到搜狗的云服务器。
连接到云是大多数 IME 成功的关键,使它们能够改进文本预测并启用其他杂项功能,例如搜索 GIF 和模因的能力。但这也增加了风险,因为至少在理论上,内容可以在传输过程中被拦截。
应用程序有责任正确加密数据并防止这种情况发生。搜狗的隐私政策称,它“采用了行业标准的安全技术措施……最大限度地防止用户个人信息的泄露、破坏、滥用、未经授权的访问、未经授权的披露或更改”。
“人们普遍对键盘应用程序的安全性表示怀疑,因为他们在宣传他们的云服务,”王说。“几乎可以肯定,他们正在通过互联网发送一定数量的击键。”
尽管如此,用户仍然继续授予应用程序完全访问权限。
当公民实验室的研究人员开始研究 Windows 、Android 和 iOS 平台上的搜狗输入法时,他们发现它使用的是自己开发的加密系统 EncryptWall ,而不是传输层安全 (TLS),这是标准的国际加密协议。自 1999 年以来一直在使用。(搜狗也在 MacOS 和 Linux 等其他平台上使用,但研究人员尚未对其进行研究。)
公民实验室发现,这两种加密系统之间的一个关键区别是,搜狗的 EncryptWall 仍然容易受到 2002 年披露的漏洞的攻击,并且可以将加密数据恢复为纯文本。2003 年,TLS 进行了更新,以防止这种情况的发生。但是,当研究人员在搜狗上使用该漏洞方法时,他们成功解密了他们输入的确切击键。
https://wp.technologyreview.com/wp-content/uploads/2023/08/citizenlabexample.jpeg?w=665
恢复数据的示例;第 19 行包含用户键入的文本,第 2 行包含正在其中键入文本的应用程序的包名称。
###第三方键盘应用程序使中文输入更加高效,但它们也可能成为隐私噩梦。(转载)
对于数百万中国人来说,他们在新笔记本电脑或智能手机上下载的第一个软件始终是相同的:键盘应用程序。然而,他们中很少有人意识到,这可能会让他们输入的所有内容都容易受到监视。
由于数十个汉字可以共享相同的拉丁拼音,仅使用普通的 QWERTY 键盘效率极低。智能本地化键盘应用程序可以通过预测用户想要输入的字符和单词来节省大量时间并减少挫败感。如今,超过 8 亿中国人在个人电脑、笔记本电脑和手机上使用第三方键盘应用程序。
但多伦多大学附属研究小组公民实验室最近发布的一份报告显示,最受欢迎的中文键盘应用程序之一的搜狗存在巨大的安全漏洞。
“这是一款处理非常敏感信息的应用程序,特别是你输入的每一条信息,”公民实验室的高级研究员、该报告的合著者杰弗里·诺克尔 (Jeffrey Knockel) 说。“所以我们想更详细地研究这个问题,看看这个应用程序是否正确地加密了它通过网络发送的非常敏感的数据,或者,正如我们发现的那样,它是否以窃听者可以破译的方式进行了不当的加密?”
事实上,他和他的同事发现,搜狗的加密系统可以被利用来拦截和解密人们正在输入的内容。
2021 年被科技巨头腾讯收购的搜狗在公民实验室研究人员向该公司披露后迅速修复了这一漏洞。
“用户隐私是我们业务的基础,”搜狗发言人告诉《麻省理工科技评论》。“我们已经解决了公民实验室发现的问题,并将继续努力确保用户数据的安全。我们在隐私政策中透明地披露我们的数据处理活动,并且不会以其他方式共享用户数据。”
但不能保证这是该应用程序中的唯一漏洞,研究人员也没有检查中国市场上其他流行的键盘应用程序,这意味着这款无处不在的软件将继续对数亿人构成安全风险。令人担忧的是,这种情况的可能性使得中国用户在 Signal 等应用程序中进行的加密通信很容易受到国家监控系统的攻击。
中国设备不可或缺的一部分
键盘应用程序的正式名称为输入法编辑器 (IME),对于输入字符数多于常见拉丁字母键盘所允许的语言(例如日语、韩语或印度语字符)的语言来说是必需的。
对于中国用户来说,拥有一个输入法几乎是必需品。
“使用拉丁字母输入汉字时,有更多的歧义需要解决,”公民实验室开放技术基金研究员、该报告的另一位合著者 Mona Wang 说。因为同一个拼音可以匹配几十个甚至上百个汉字,而且这些汉字还可以通过不同的方式配对成为不同的单词,所以一个针对中文进行了微调的键盘应用程序的表现比普通的键盘应用程序要好得多。默认键盘。
从个人电脑时代开始,中国软件开发商提出了各种输入法产品来加快打字速度,有些甚至放弃拼音,允许用户绘制或选择汉字的部件。于是,下载第三方键盘软件就成了每个中国人的标准做法。
2006 年发布的搜狗输入法迅速成为国内最受欢迎的键盘应用程序。它比任何竞争对手都更有能力预测用户真正想要输入的字符或单词,并且它通过从互联网上抓取文本并维护一个广泛的中文单词库来做到这一点。基于云的库经常更新,以包含新创造的单词、趋势表达或新闻中的人物姓名。2007 年,谷歌推出中文键盘时,甚至抄袭了搜狗的词库(后来不得不道歉)。
2014 年,当 iPhone 终于首次启用第三方输入法时,中国用户争相下载搜狗键盘应用,一天之内就留下了 3000 条评论。一度超过 90%的中国 PC 用户使用搜狗。
多年来,其市场主导地位已经减弱。截至去年,百度输入法是中国排名第一的键盘应用程序,拥有 6.07 亿用户和 46.4%的市场份额。但根据分析公司 iiMedia 的数据,搜狗仍然拥有 5.61 亿用户。
暴露漏洞
键盘应用程序可以访问各种用户信息。例如,一旦搜狗被下载并添加到 iPhone 键盘选项中,该应用程序将要求“完全访问权限”。如果获得批准,用户输入的任何内容都可以发送到搜狗的云服务器。
连接到云是大多数 IME 成功的关键,使它们能够改进文本预测并启用其他杂项功能,例如搜索 GIF 和模因的能力。但这也增加了风险,因为至少在理论上,内容可以在传输过程中被拦截。
应用程序有责任正确加密数据并防止这种情况发生。搜狗的隐私政策称,它“采用了行业标准的安全技术措施……最大限度地防止用户个人信息的泄露、破坏、滥用、未经授权的访问、未经授权的披露或更改”。
“人们普遍对键盘应用程序的安全性表示怀疑,因为他们在宣传他们的云服务,”王说。“几乎可以肯定,他们正在通过互联网发送一定数量的击键。”
尽管如此,用户仍然继续授予应用程序完全访问权限。
当公民实验室的研究人员开始研究 Windows 、Android 和 iOS 平台上的搜狗输入法时,他们发现它使用的是自己开发的加密系统 EncryptWall ,而不是传输层安全 (TLS),这是标准的国际加密协议。自 1999 年以来一直在使用。(搜狗也在 MacOS 和 Linux 等其他平台上使用,但研究人员尚未对其进行研究。)
公民实验室发现,这两种加密系统之间的一个关键区别是,搜狗的 EncryptWall 仍然容易受到 2002 年披露的漏洞的攻击,并且可以将加密数据恢复为纯文本。2003 年,TLS 进行了更新,以防止这种情况的发生。但是,当研究人员在搜狗上使用该漏洞方法时,他们成功解密了他们输入的确切击键。
https://wp.technologyreview.com/wp-content/uploads/2023/08/citizenlabexample.jpeg?w=665
恢复数据的示例;第 19 行包含用户键入的文本,第 2 行包含正在其中键入文本的应用程序的包名称。
 |
1
Nonexistent OP |
 |
2
tuwulin365 255 天前
中文键盘,第一次听到这种叫法啊
|
|
3
Nonexistent OP @tuwulin365 看正式的说法是 Input Method ,比较少用,大多用 keyboard ,机翻就是键盘了
|
 |
4
whileFalse 255 天前
没必要,系统自带的键盘够用
|
 |
5
rojer12 254 天前
全平台用 rime ,自己同步就行了
|
Select Language