层叠 - The Cascading

Citizen Lab 分析称多款中文输入法的云输入功能存在漏洞，可用于获取用户输入内容。

研究者建议用户更新输入法、停用云端功能及停用 iOS 中输入法的「允许完整访问权」选项。

报告称：
- QQ 拼音也被发现和之前发现的搜狗输入法一样 [1] 的自制加密算法的漏洞。百度输入法自制的被称为「Baidu CTR」的 AES 加密模式亦存在漏洞。
- 三星键盘被发现使用 HTTP 明文协议发送用户输入数据及与云输入服务进行交互。
- 在 Citizen Lab 告知漏洞详情后，除 QQ 拼音 Windows 版和荣耀设备上默认启用的百度输入法，其它软件均在更新版本中对漏洞进行修正。
- 百度修复了报告中的几个最严重的漏洞，但并未修复其余报告的漏洞。不过目前研究者已经无法获取百度云输入用户的输入内容。
- 腾讯修复了数个定制/非定制版搜狗输入法及 QQ 拼音 Android 版中的漏洞。QQ 拼音 Windows 版的漏洞则由于产品停运而并未进行修正。

citizenlab.ca/~

1. /4284

#China #IME #Privacy

The Citizen Lab

敲敲打打：一系列云端输入法漏洞使网络攻击者得以监看个人用户的输入内容（摘要） - The Citizen Lab

在我们测试的九家厂商的应用程序中，仅有华为的产品未发现任何上传用户输入内容至云端相关的安全问题，其余每一家厂商都至少有一个应用程序含有漏洞，使得被动型网络攻击者得以监看用户输入的完整内容。

www.tg-me.com/it/层叠 The Cascading/com.outvivid/4508

7.7K viewsApr 26 at 02:45

Citizen Lab 分析称多款中文输入法的云输入功能存在漏洞，可用于获取用户输入内容。

研究者建议用户更新输入法、停用云端功能及停用 iOS 中输入法的「允许完整访问权」选项。

报告称：
- QQ 拼音也被发现和之前发现的搜狗输入法一样 [1] 的自制加密算法的漏洞。百度输入法自制的被称为「Baidu CTR」的 AES 加密模式亦存在漏洞。
- 三星键盘被发现使用 HTTP 明文协议发送用户输入数据及与云输入服务进行交互。
- 在 Citizen Lab 告知漏洞详情后，除 QQ 拼音 Windows 版和荣耀设备上默认启用的百度输入法，其它软件均在更新版本中对漏洞进行修正。
- 百度修复了报告中的几个最严重的漏洞，但并未修复其余报告的漏洞。不过目前研究者已经无法获取百度云输入用户的输入内容。
- 腾讯修复了数个定制/非定制版搜狗输入法及 QQ 拼音 Android 版中的漏洞。QQ 拼音 Windows 版的漏洞则由于产品停运而并未进行修正。

citizenlab.ca/~

1. /4284

#China #IME #Privacy

BY 层叠 - The Cascading