查看原文
其他

隐私旧闻:有些事情你不记得了,输入法还帮你记着

鸭子哥 蓝点网 2021-02-05

注:本文发布于2016年5月30日

输入法为了提高连打字词的准确性将用户的部分数据上传至服务器进行分析已经是半公开的秘密的了。

除了强迫用户接受各种推送过来的广告外,广大用户们还需要被迫或者压根不知道的情况下向输入法开发商们贡献着隐私数据。

尽管你已经去掉勾选所谓的“加入用户体验改进计划”不过其实没有什么卵用,输入法们依然孜孜不倦的上传你的各种隐私数据。

如果说为了提高连打字词的准确性将用户的数据上传,这也倒是无可厚非。但是既然用户选择了不加入所谓的用户体验改进计划还依然上传,这和流氓有什么区别呢?

更加让人恶心的是用户的这些隐私数据竟然还是通过明文上传至输入法们的服务器,也就是说只要有人针对你进行某些攻击时输入法就是一个极大的突破口。

更加更加让人恶心的是这种通过软件明文上传隐私数据来截获信息的事情已经发生了,该事件的主角是分别是阿里巴巴旗下的UC浏览器和美国的情报组织—FBI。

在2015年5月份时美国棱镜门爆料者Edward Snowden公布了一份文件,文件显示FBI利用UC浏览器明文上传用户隐私数据的漏洞截获了一些他们感兴趣的东西。

阿里巴巴旗下的UC浏览器在中国、亚洲和非洲拥有非常庞大的用户群,UC浏览器Android版本会收集用户的地理位置、信息、通话记录、文件以及浏览记录并上传至他们的服务器

FBI正是利用了UC浏览器明文上传这些数据的漏洞,通过中间人攻击的方式截获了上传的隐私数据从而得到他们感兴趣的内容。

这一事件在当时被全球多个知名度非常高的科技类媒体曝光,事后阿里巴巴发布声明称将使用HTTPS来加密传输这些数据


今天的主角是搜狗输入法和百度输入法,这两个输入法被微博网友蒸米spark发现明文上传用户输入的内容。

以下为整理版:

@蒸米spark正在使用网络数据分析工具Charles测试某些东西时,正好有小伙伴给他发送了钉钉消息。于是他回复了小伙伴后就继续回去分析数据包了。

然而意想不到的是@蒸米spark刚刚在钉钉上输入的内容已经被输入法通过明文传输的方式发送到了服务器。

于是他开始了针对这个问题进行了测试,首先他输入了一句话:我在使用百度云输入法,然后看了下Charles刚刚获取的网络数据包:

Result的第一行使用的是Unicode代码,转化成中文就是刚刚输入的那句话。并且可以很明显的看到全程使用HTTP协议并没有进行加密传输

这意味着我们输入的任何内容,无论是QQ、钉钉只要使用了百度输入法黑客都可以轻松嗅探到,完全没有任何隐私可言

就算没有黑客,我所输入的内容也被传输到百度的服务器,鬼知道会后会发生什么。

气愤的我准备换一个输入法,听说搜狗输入法还挺不错的,于是我下载下来并且安装,然后就看到了这个用户体验改进计划:

呵呵机智的我肯定不会加入这个什么泄露隐私计划的啊,果断取消勾选并进入了下一步。安装完毕后赶紧测试了一下:

再一次看到了所有输入的内容通过明文上传到了搜狗的服务器上,管你有没有参加什么用户体验改进计划,你的隐私信息我先上传了再说。


结束语:

在中国各种各样的桌面程序、手机应用软件私自读取用户数据上传至他们的服务器已经是半公开的秘密了。

但是在经过UC浏览器事件后这些厂商还依然使用HTTP明文传输用户的隐私数据,这实在是让人没法去想象。

然而虽然没法去想象但这事儿依然还是发生了,而作为用户你唯一能做的除了不用这些软件以外别无他法。

可是当所有软件都这样时我们又能怎么样呢?全部不用显然是不现实的,用那么意味着隐私全无,你又能怎样呢?

去年这个时候大家还在震惊FBI竟然能发掘UC浏览器明文传输的漏洞来获取信息,然而一年过去了这些数以亿计的软件开发商们却依然还用HTTP明文传输用户的隐私信息,不得不说这也是足够让人悲哀的了。

关注蓝点网,关注靠谱的互联网信息

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存