国产云输入法——仅华为无云端数据上传安全问题

CitizenLab 的研究人员分析了百度、荣耀、华为、讯飞、OPPO、Vivo、三星、腾讯、小米九家厂商的云输入法，并发布报告指出其中部分存在漏洞，可能导致用户输入内容遭遇暴露。

报告称，分析结果指出，九家厂商中，有八家输入法软件包含严重漏洞，允许研究人员完整破解厂商设计用于保护用户输入内容的加密法。还有部分厂商并未使用任何加密法保护用户输入内容。

研究人员向受影响的九家开发商提交了漏洞报告，大部分开发商均认真看待问题并予以回应，修补了漏洞，但仍有少数输入法未修补漏洞。

研究发现，在测试的九家厂商的应用程序中，仅有华为的产品未发现任何上传用户输入内容至云端相关的安全问题，其余每一家厂商都至少有一个应用程序含有漏洞，使得被动型网络攻击者得以监看用户输入的完整内容。

报告的末尾，研究团队为受漏洞影响的各方提供了综合建议：

Reference

https://citizenlab.ca/2024/04/vulnerabilities-across-keyboard-apps-reveal-keystrokes-to-network-eavesdroppers/

https://citizenlab.ca/wp-content/uploads/2024/04/CitizenLabReport175-keyboardvuln.pdf