Post #313

Citizen Lab 分析称多款中文输入法的云输入功能存在漏洞，可用于获取用户输入内容。 研究者建议用户更新输入法、停用云端功能及停用 iOS 中输入法的「允许完整访问权」选项。 报告称： - QQ 拼音也被发现和之前发现的搜狗输入法一样 [1] 的自制加密算法的漏洞。百度输入法自制的被称为「Baidu CTR」的 AES 加密模式亦存在漏洞。 - 三星键盘被发现使用 HTTP 明文协议发送用户输入数据及与云输入服务进行交互。 - 在 Citizen Lab 告知漏洞详情后，除 QQ 拼音 Windows 版和荣耀设备上默认启用的百度输入法，其它软件均在更新版本中对漏洞进行修正。 - 百度修复了报告中的几个最严重的漏洞，但并未修复其余报告的漏洞。不过目前研究者已经无法获取百度云输入用户的输入内容。 - 腾讯修复了数个定制/非定制版搜狗输入法及 QQ 拼音 Android 版中的漏洞。QQ 拼音 Windows 版的漏洞则由于产品停运而并未进行修正。 citizenlab.ca/~ 1. /4284 #China#IME#Privacy