全球規模最大的礦池之一,F2Pool 共同創辦人神魚今日在 X 發推表示,多達十億用戶的雲輸入法可能已經洩露輸入內容
(前情提要:Runes引爆比特幣手續費「礦工爽賺」;神魚:這非BTC「減半」,而是翻倍 )
(背景補充:專訪神魚:比特幣減半「礦工倒貨有限」、山寨幣可能不會漲?看好AI、元宇宙、區塊鏈大融合 )
全球規模最大的礦池之一,F2Pool 共同創辦人神魚今日在 X 發文表示,多達十億用戶的雲端拼音輸入法軟體可能已經洩露輸入內容,如果用戶通過下文分析中的輸入法,輸入過錢包記助詞或其他敏感訊息,請即採取相應措施以降低遭駭風險。
多达十亿用户的云输入法可能已泄露输入内容。如果您通过以下任一云输入法输入过助记词或其他敏感信息,请立即采取措施降低风险。https://t.co/A0BE8Mx2Ys pic.twitter.com/eddHbYh0iW
— DiscusFish (@bitfish1) April 29, 2024
九間廠商中有八間輸入法軟體包含嚴重漏洞
根據神魚的推文引述,數位監督組織公民實驗室(The Citizen Lab)分析了 9 家廠商,廠商包括:百度、榮耀、華為、訊飛、OPPO、三星、騰訊、Vivo以及小米,其中八家的輸入法軟體包含嚴重的漏洞(僅華為倖免於難)。
另外,綜合先前研究中發現的搜狗輸入法漏洞,估計至少有十億用戶受到漏洞影響,基於以下原因,用戶輸入內容可能已經遭大規模搜集:
- 漏洞影響廣泛的用戶群體
- 用戶在鍵盤中輸入得訊息極為敏感
- 發現這些漏洞不需要高深的技術
- 五眼聯盟過去曾利用中國應用程序中類似的漏洞實施監控
僅華為未發現漏洞,iOS 系統最安全
在 9 間廠商的應用程序測試中,僅有華為的產品未發現上傳用戶輸入內容至雲端相關的安全問題,其餘每間廠商至少都會有一個應用程序含有漏洞,使得被動型網路攻擊者得以監看用戶輸入的完整內容。另一方面,iOS 系統在測試中沒有出現漏洞問題。
下列為測試漏洞圖表:
在測出漏洞後,The Citizen Lab 將漏洞資訊提交給廠商,但據瞭解,有些廠商已修補其中幾個較嚴重的漏洞,有些廠商則是完全未修補。
用戶該如何防範
爲了提高安全意識 ,The Citizen Lab 提供一些建議給一般用戶:
- 搜狗、QQ、百度、訊飛輸入法的用戶,無論輸入法是手動從應用程式商店安裝或者原本就內置在操作系統當中,應確保輸入法及操作系統維持在最新版本。
- 顧慮隱私的用戶應停用任何輸入法中的雲端功能
- 顧慮隱私的 iOS 用戶不要啟動輸入法的「允許完整訪問權」
