八家输入法存在漏洞，仅华为幸免，五眼联盟曾进行监控

4月23日，多伦多大学的一家实验室披露了最新的研究结果，他们对中国市面上主流的9种输入法软件进行分析，其中8种存在严重漏洞，攻击者可通过漏洞监视用户的输入内容。此外，根据先前的追踪报告，五眼联盟曾利用类似漏洞进行监控活动。

输入中文等标识语言比输入字母语言更困难，在字母语言中，每个字母都可以用一个键表示，但没有办法将数以万计的汉字放在一个键盘上。尽管存在这一明显的挑战，但技术已经发展起来，使中文打字成为可能。要启用汉字输入，通常会使用带有“输入法编辑器”（IME） 的键盘应用程序。IME 提供了多种输入汉字的方法，包括通过手写、语音和光学字符识别 （OCR）。由于预测用户接下来可能想要输入哪些字符很复杂，尤其是在中文等徽标语言中，IME 通常提供通过网络传输的“基于云”的预测服务。虽然用户键入的内容从他们的设备传输到云，但如果没有得到适当的保护，它也容易受到网络攻击者的攻击。

在研究的9种输入法中，包括6家设备制造商：三星、华为、小米、OPPO、Vivo、荣耀；其余3家输入法为搜狗、讯飞、百度。除华为外，其余8家的输入法均存在严重漏洞，可以使攻击者查看输入的完整内容。在该实验室向以上厂商提交报告后，各厂商积极整改，除荣耀以外，破解方法经过修补后，均已无效。

以下是详细情况：

披露的报告显示有8家输入法存在监听隐患

从图中可以看出，各输入法的安全情况较为严重，仅有华为未发现任何上传用户输入内容至云端相关的安全问题。（可能是因为华为在网络安全领域深耕多年，经验较为丰富）

而搜狗（腾讯开发，搜狗是腾讯的子公司）输入法在2023年8月就曾经被披露Windows 和 Android 版本在加密系统中存在漏洞。作为最受欢迎的中文输入法，每月活跃用户超过4.5亿，适用于多个平台，包括 Windows、Android 和 iOS。搜狗输入法占中国输入法用户的70%，科大讯飞和百度的产品分别位居第二和第三。

在提交这些漏洞不久之后，百度修复了当中最严重的几个，但并未修补其余漏洞。数家手机制造商在操作系统中内置了这些带有漏洞的输入法程序，除了百度输入法之外，如今手机制造商都已对内置输入法的这些漏洞作出修补。针对内置的百度输入法，荣耀完全未修补任何漏洞，其余厂商都只修补了部分最严重的漏洞。

大部分已修复完成

给用户的建议：

• 搜狗、QQ、百度、讯飞输入法的用户，无论输入法是手动从应用商店安装或者原本就内置在操作系统当中，应确保输入法及操作系统维持在最新版本。
• 顾虑隐私的用户应停用任何输入法中的云端功能。
• 顾虑隐私的 iOS 用户不要启用输入法的「允许完整访问权」。