越是常用的软件,越容易引起安全漏洞,同时,要让用户改变使用习惯也越发困难。
在中文用户的软件中,输入法是最大的安全漏洞(没有之一)。
输入法是权限很高的软件,比一般的聊天软件权限更高,细节就不说了。而基本上所有的输入法都是强制联网,据说关了也不行,将所有可执行文件删除了也不行(因为输入法是系统服务,并不在应用层执行)。
同时,输入法又是用户重度依赖的工具,而且很难改换使用习惯。
几年前,著名的McAfee公司分析了某些输入法,发现这些输入法用Http明文传输用户输入的数据:
(https://www.landiannews.com/archives/14132.html)。
也就是说,你在键盘上的每个输入,包括你的删除和修改,你的通讯录和自造词,都会被系统权限相当高的输入法捕获,并(明文)上传云同步。这个事情的安全隐患有多大,可以说,只要你在使用云同步的输入法,就基本上等于网络裸奔了。别的什么电子邮件、浏览器安全,根本就不是事儿了。(当然,您还是应当注意其他方面的安全)。
不相信的朋友可以参考这篇文章:https://zone.abluex.com/archives/105.html
最后一段我引用一下:
本文通过对Windows10中文输入法用户词库的文件存储协议格式进行分析,明确了用户词库文件中存储词条信息的初始文件偏移位置,以及单个词条信息存储占用的总长度和对应词条字数、输入频率、实际词条内容的具体存储结构。利用本文的提取方法可有效提取用户在使用安装了Win8、Win10操作系统的台式或平板电脑之后留存下的中文输入痕迹。
侦查人员在对电子设备的电子数据分析过程中,有效提取操作系统内自带输入法的用户词库信息,可得到系统用户的输入痕迹信息,便于掌握计算机用户的行为特征,拓展案件侦查线索的渠道。
作者 | 重庆警察学院 周凯https://zone.abluex.com/archives/105.html
我的输入法基本策略是:
1. 绝对不装任何国产输入法,特别是不用云同步的输入法和支持语音识别的输入法(千万不要使用语音输入)。微软自带的输入法也不用。
2. 如果可以,优先选用开源的rime输入法,实在不行,也可以换成谷歌输入法。
3. 将词库放在veracrypt加密盘上,关机就自动加密。
4. 绝对不使用输入法提供的云同步。
我知道许多人重度依赖自己的输入法,所以只是说说而已,很难下决心做到。
再想想,凡是免费的,就是最昂贵的。免费的输入法可能需要用世界上最昂贵的隐私来交换。
我有个做神学翻译的朋友,听了我的意见,换了输入法。过了一周就告诉我,抱歉,翻译速度大幅度下降,受不了了,是否可以换回从前的输入法?
当然,我能说什么呢。毕竟,中国人愿意牺牲一点隐私来换取方便——这话是谁说的?
坚不可摧的艾城是这样破了的:
艾城和伯特利城没有一人不使用云同步的输入法,撇了敞开的城门,去追赶输入速度……
我做过几次工作坊,提醒大家注意输入法。但这事涉及用户心理学,所以几乎没有任何效果。想想从前我的朋友蒋震老师,可是自己设计和编码输入法的,那时候我们可真自由安全,无忧无虑——他的输入法就叫做“雨辰”输入法,将名字“震”分开了输入。但现在,劝一个人使用开源输入法也有点难度了。一年14万计算机毕业生,不知道学了些什么。
明天休息。周一结束这个系列。写到这里有些意兴阑珊了。如果有人读了这篇文章,成功地下定决心改变输入法,请给我发邮件。RIME的下载地址是: