某品牌手机 "输入法" 明文上传用户隐私
B站 UP 主 @EPCDIY 联合 @边亮_网络安(某大厂 APT 分析部负责人)发现某知名手机品牌内置的中文输入法竟然还使用 HTTP 明文协议传输数据。将用户的所有输入记录全部上传到云端,而且这些数据还会被共享给广告商。
比如在视频演示中,使用该输入法输入一段包含猫咪很可爱、我想买一只猫,结果过会儿打开某二手交易平台立即出现了猫咪相关的内容,连搜索框默认搜索词都变成了宠物。
不过该输入法早就更新版本切换为 HTTPS 加密传输,但是开启了云输入还是会被上传数据。
而由于某些手机厂商内置定制的输入法版本,没有和官方版本同步更新到最新版本,导致还在用 HTTP 明文协议传输数据,所以这个问题应该是某些手机厂商的锅,不推送更新输入法版本。
据相关协议,某手机将这些数据分享给 30 多个 SDK,这些 SDK 里自然也包含广告类的 SDK,所以为什么输入个内容其他平台就出现了推荐呢?原因就是输入法把你卖了。
据 UP 主的说明,这个问题此前已经通报给了某手机厂商,手机厂商承认问题并发布补丁进行修复。
其实在之前锋哥就分享过:热门输入法被点名违规收集个人信息,我应该选择什么输入法? 和 无需联网的开源输入法「Rime」 文章,其中安卓端推荐用 Gboard+词库,而 iOS 端推荐用自带的。
当然如果你习惯了目前用的输入法的话,不想更换,也可以通过手机的联网权限设置,来禁止输入法联网(不过有网友表示如果你手机还安装有同公司旗下的应用,那么还会共享数据,所以禁止联网可能也无效)。但是这样的缺点就是网络热门词输入精度会下降。
最后
说下最近遇到的一个被窃取隐私的事,在某社交应用上聊天,其中聊到了几次 "鹦鹉鸟" 关键词,然后在另外一部手机上的某短视频应用就会拼命推送鹦鹉鸟相关的视频。
值得一提的是,一部手机是安卓(某社交应用聊天用的是 Gboard 输入法),一部是 iPhone(某短视频应用推送鹦鹉鸟相关的视频)。并且两部手机用的社交应用账号和短视频应用账号都不一样,唯一相同的就是在同个网络环境。
所以谁是内鬼?
视频地址:https://www.bilibili.com/video/BV1KK4y1B7Nr
内容参考:蓝点网