简明网络安全(8)|输入法是最大的漏洞

fluffy red curious fox in winter forest

阅读本文大约需要: 4 分钟

越是常用的软件,越容易引起安全漏洞,同时,要让用户改变使用习惯也越发困难。

在中文用户的软件中,输入法是最大的安全漏洞(没有之一)。

输入法是权限很高的软件,比一般的聊天软件权限更高,细节就不说了。而基本上所有的输入法都是强制联网,据说关了也不行,将所有可执行文件删除了也不行(因为输入法是系统服务,并不在应用层执行)。

同时,输入法又是用户重度依赖的工具,而且很难改换使用习惯。

几年前,著名的McAfee公司分析了某些输入法,发现这些输入法用Http明文传输用户输入的数据:

(https://www.landiannews.com/archives/14132.html)。

也就是说,你在键盘上的每个输入,包括你的删除和修改,你的通讯录和自造词,都会被系统权限相当高的输入法捕获,并(明文)上传云同步。这个事情的安全隐患有多大,可以说,只要你在使用云同步的输入法,就基本上等于网络裸奔了。别的什么电子邮件、浏览器安全,根本就不是事儿了。(当然,您还是应当注意其他方面的安全)。

不相信的朋友可以参考这篇文章:https://zone.abluex.com/archives/105.html

最后一段我引用一下:

三、结语

本文通过对Windows10中文输入法用户词库的文件存储协议格式进行分析,明确了用户词库文件中存储词条信息的初始文件偏移位置,以及单个词条信息存储占用的总长度和对应词条字数、输入频率、实际词条内容的具体存储结构。利用本文的提取方法可有效提取用户在使用安装了Win8、Win10操作系统的台式或平板电脑之后留存下的中文输入痕迹。

侦查人员在对电子设备的电子数据分析过程中,有效提取操作系统内自带输入法的用户词库信息,可得到系统用户的输入痕迹信息,便于掌握计算机用户的行为特征,拓展案件侦查线索的渠道。

作者 | 重庆警察学院 周凯https://zone.abluex.com/archives/105.html


我的输入法基本策略是:

1. 绝对不装任何国产输入法,特别是不用云同步的输入法和支持语音识别的输入法(千万不要使用语音输入)。微软自带的输入法也不用。

2. 如果可以,优先选用开源的rime输入法,实在不行,也可以换成谷歌输入法。

3. 将词库放在veracrypt加密盘上,关机就自动加密。

4. 绝对不使用输入法提供的云同步。


我知道许多人重度依赖自己的输入法,所以只是说说而已,很难下决心做到。

再想想,凡是免费的,就是最昂贵的。免费的输入法可能需要用世界上最昂贵的隐私来交换。

我有个做神学翻译的朋友,听了我的意见,换了输入法。过了一周就告诉我,抱歉,翻译速度大幅度下降,受不了了,是否可以换回从前的输入法?

当然,我能说什么呢。毕竟,中国人愿意牺牲一点隐私来换取方便——这话是谁说的?

坚不可摧的艾城是这样破了的:

艾城和伯特利城没有一人不使用云同步的输入法,撇了敞开的城门,去追赶输入速度……


我做过几次工作坊,提醒大家注意输入法。但这事涉及用户心理学,所以几乎没有任何效果。想想从前我的朋友蒋震老师,可是自己设计和编码输入法的,那时候我们可真自由安全,无忧无虑——他的输入法就叫做“雨辰”输入法,将名字“震”分开了输入。但现在,劝一个人使用开源输入法也有点难度了。一年14万计算机毕业生,不知道学了些什么。

明天休息。周一结束这个系列。写到这里有些意兴阑珊了。如果有人读了这篇文章,成功地下定决心改变输入法,请给我发邮件。RIME的下载地址是:

https://rime.im/download/


版权所有:Eddy Zhang
博客:https://eddyemma.com
出品人:跨文翻译(kuawentrans.com)跨文翻译以职场作为宣教平台。

This image has an empty alt attribute; its file name is kuawen-640x334.jpg

if you are ever moved to support this ministry or my family…

若您或您的教会愿意支持跨文翻译的事工,请使用以下二维码。


Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.