打字内容看光光！多种「输入法软件」惊传严重漏洞，恐近10亿用户中枪

加拿大多伦多大学的蒙克国际研究中心的跨学科实验室「公民实验室（Citizen Lab）」的最新研究在八家公司科技公司的云端拼音输入法中发现了一系列严重漏洞，该漏洞允许网络监听者可以轻易拦截使用者输入的内容，导致使用者输入的一切内容一览无遗，造成重大隐私及资安风险，尤其对加密货币产业人士与投资人而言，造成的影响可能尤为严重。

根据公民实验室的报告，这八家公司包括：百度、荣耀、讯飞、OPPO、三星、腾讯、Vivo和小米等。

公民实验室表示：

「分析结果指出，九家厂商中，有八家输入法软件包含严重漏洞，使我们得以完整破解厂商设计用于保护使用者输入内容的加密法。亦有部分厂商并未使用任何加密法保护使用者输入内容。综合本研究和我们先前研究中发现的搜狗输入法漏洞，我们估计至多有十亿用户受到这些漏洞影响。」

此外，该组织已向受影响的九家开发商提交漏洞细节，大部分开发人员都认真看待问题并予以响应，修补了漏洞，但仍有少数输入法未修补漏洞。

公民实验室在报告中总结道：

「除了荣耀以外，我们发现的加密破解方法经过厂商修补后，都已无效。而在荣耀手机以外厂牌的百度输入法中，仍持续存在加密的弱点，但我们暂时还未找到方法可以利用这些弱点破解传输中的用户输入内容。」针对此次大规模网络安全事件，安全公司慢雾创办人余弦在X上评论道，用系统自备输入法是一种减少攻击面的好习惯（当然，如果系统输入法被发现有风险而迟迟不解决，那也得注意）。另一方面，矿池F2Pool与Cobo创办人神鱼也呼吁受影响用户立即采取措施降低风险。