為達最佳瀏覽效果,建議使用 Chrome、Firefox 或 Microsoft Edge 的瀏覽器。

請至Edge官網下載 請至FireFox官網下載 請至Google官網下載
晴時多雲

限制級
您即將進入之新聞內容 需滿18歲 方可瀏覽。
根據「電腦網路內容分級處理辦法」修正條文第六條第三款規定,已於網站首頁或各該限制級網頁,依台灣網站分級推廣基金會規定作標示。 台灣網站分級推廣基金會(TICRF)網站:http://www.ticrf.org.tw

中國鍵盤APP藏安全漏洞 麻省理工科技評論:用戶內容恐外洩!

《麻省理工科技評論》近日刊文示警,幾乎每個中文鍵盤應用程式,都存在洩漏用戶輸入內容的安全漏洞。示意圖。(歐新社)

《麻省理工科技評論》近日刊文示警,幾乎每個中文鍵盤應用程式,都存在洩漏用戶輸入內容的安全漏洞。示意圖。(歐新社)

2024/04/25 21:23

劉晉仁/核稿編輯

〔即時新聞/綜合報導〕美國麻省理工學院出版的《麻省理工科技評論》(MIT Technology Review)近日刊文示警,幾乎每個中國鍵盤應用程式都存在洩漏用戶輸入內容的安全漏洞,這些APP的加密漏洞(encryption loophole),使近10億人暴露在遭竊聽私人對話的風險當中。

不少人因為覺得手機預設的鍵盤太過單調,而另行下載有著各種輸入法,或新奇外觀介面的鍵盤APP,不過《麻省理工科技評論》24日刊文 示警,世界各地中國人或說中文的人,使用的幾乎所有鍵盤APP都存在安全漏洞,可以監視使用者的輸入內容,「根據加拿大多倫多大學蒙克國際研究中心的公民實驗室(the Citizen Lab)研究人員指出,該漏洞允許這些APP發送到雲端的擊鍵紀錄(記錄鍵盤按下的每個按鍵)被攔截,該漏洞已存在多年,並且可能已被網路犯罪分子和國家監控組織利用」研究人員還特別點名中國百度、騰訊和科大訊飛所開發的鍵盤APP。

此外,研究人員還研究了在中國銷售的安卓系統(Android)手機上預先安裝的鍵盤APP,發現不僅是第三方APP,每部預先安裝鍵盤的安卓手機,都未能透過正確加密使用者輸入的內容來保護使用者。事實上,早在2023年8月,研究人員就發現在中國市場主流、且多會被預先安裝至安卓手機的漢語拼音輸入法「搜狗拼音輸入法」,在將擊鍵紀錄傳輸到其雲端伺服器,以進行更好的「預測字詞」時,沒有使用「傳輸層安全性協定」(TLS,一種廣泛採用的國際加密協議,目的是為網際網路通訊提供安全及資料完整性保障),導致擊鍵內容容易被第三方蒐集並解密。儘管搜狗去年表示,已修復這些問題,但現在還是部分手機預先安裝的搜狗鍵盤沒有更新至最新版本,因此還是容易被竊聽。

公民實驗室高級研究員諾克爾(Jeffrey Knockel)直言,這些漏洞並不難被利用,只要了解這個漏洞,根本不需要超級電腦來破解,只需要連上Wi-Fi就能「攻擊」另一個人,「這些漏洞不但容易被利用,還能獲得巨大回報,因為一個人輸入的內容可能包括銀行帳戶密碼或機密資料,也因此使的這個問題更加嚴重」亞利桑那州立大學網路安全與密碼學副教授克蘭德爾(Jedidiah Crandall)也表示,「由於解密訊息不需要太多努力,因此這種類型的漏洞可能成為有心人士,甚至組織對群體進行大規模監視的絕佳目標。」

《麻省理工科技評論》表示,公民實驗室的人員發現此一問題後,就向開發這些鍵盤APP的公司取得聯繫,大部分漏洞都已得到修復,但有一些公司至今沒有給出回應,因此該漏洞仍然存在於一些APP和手機,以及尚未更新到最新版本的鍵盤APP。

不用抽 不用搶 現在用APP看新聞 保證天天中獎  點我下載APP  按我看活動辦法

相關新聞
國際今日熱門

2024巴黎奧運

挺選手拚好運

看更多!請加入自由時報粉絲團

網友回應

載入中
此網頁已閒置超過5分鐘,請點擊透明黑底或右下角 X 鈕。