(99+ 封私信 / 82 条消息) 输入法会不会泄漏个人机密? - 知乎
date_saved: 2023-07-10 02:00:39
date_published: 2018-04-12 12:43:00
Full Content:
完全有可能。
看了一下搜狗输入法的“用户体验改进计划隐私保护声明”。
信息披露条款
根据法律、法规、法律程序的要求或政府主管部门的强制性要求,==搜狗输入法==会披露你的信息。
那么,搜狗输入法都会收集什么信息呢?
搜狗公司可能收集的信息
你自己给人家的姓名、性别一类的信息就不提了。(一 1)
只说搜狗输入法自动获取的信息就有你操作的设备硬件、软件、版本各类设备信息,由GPS、WiFi得到的位置信息。这已经足够敏感了,现在的手机定位能力都很强,一个输入法可以随时得到你的实时位置。(一 2 3)
最敏感的信息来了,4日志信息(1)中提到会自动收集网页搜索词语、访问页面地址和“使用搜狗公司服务时浏览或要求提供的其他信息和内容详情”(用人话说可能是收集你浏览的搜狗输入法弹出的新闻窗口一类)。(一 4 (1))
而且你会发现 (1) 的段落很长,后面有一句提到该类数据都是匿名的。但是段落中间用的是分号,事实上所谓的匿名收集的数据所指的内容只覆盖到后半段。所以这些敏感的数据都是和每一个用户的基本信息相挂钩的。
更重要的是 4.日志信息 总述的部分说“系统可能通过cookies 或其他方式自动收集并存储在服务器日志中”。用这样的方式对敏感的个人信息进行保存和上传,其安全性是存疑的。如果没有好的加密措施极有可能被黑客盗取。
所列的收集信息的最后,最让人费解的是输入法会统计出你使用 APP 的详细信息。作为一个输入法你真的需要知道这么多吗?(一 4 (5))
与收集信息的广泛和轻易对比下不同的是,在条款中,各处都洋溢着对用户数据安全的不负责。看看以下三处条款。
三 3 甩锅条款1号
五 4 甩锅条款2号
七 3 甩锅条款3号
理论上能
输入法能获取你的按键和上屏数据。
所以在win上密码框基本都不能唤起输入法。Android上支付宝,网银等客户端都是自带键盘。iPhone不开放输入法。
但实际上主流输入法不会。
我参与过输入法的开发,实际上输入法会以收集用户数据,优化词库为目的记录输入,但是会刻意避开敏感数据(账号密码),而且收集到的数据只能用来做数据统计分析而无法看到某个人的数据。因为一旦输入法被发现能泄露用户信息将是公关上的灾难,所以主流输入法公司在管理上就会尽力去保护用户信息。
但是一些小输入法就不好说了。
百度和搜狗输入法为了实现“云候选词”功能,会上传你的输入序列到服务器,用来查询云端的词库并且给你一个更优的候选条目。说实话我非常喜欢这个功能,经常能给出满意的条目,而且我早就知道它来自服务器了(因为经常姗姗来迟)。既然服务器知道我想要输入什么,那肯定看了我的输入序列啊。不过我觉得,只要把传输加密一下就完全没问题。听说有的输入法没加密,那这确实是一个问题。不过云候选词功能通常可以关闭。
前几天看了一个微博上的一个图,很感兴趣,想要复现一下,看看输入法是不是明文上传输入的信息。我不太懂网络协议什么的,就粗略复现一下~
有意思的是,这个图在微信上发不出去,我在图上加了一条红线才发送给微信电脑端。因为这个事还有一个问题,有人怀疑有些图或者文件在微信上发不出去,是因为微信能够识别我们的聊天记录。实际上微信是通过==md5码==来识别这个图或者文件的,md5码是一种==加密算法==,是根据文件内容加密生成的。如果你想发出去,可以稍微改动一下,这样产生的md5码就变了,微信也就无法封禁了。详细的解释在我另一篇回答里:
https://www.zhihu.com/question/265360369/answer/353648970
(1)我下载了图中所说chales软件。chales是一个抓包软件,据我所知,网络中传输都是以一个数据包传输的,有包头来标识发送的ip等信息,包文就是具体的数据。
(2)测试第一个场景:复现图中场景,在百度里使用搜狗输入法输入这位居士请留步。然后在chales中观察sougou在上传些什么。我们发现,上传的确实是我们的明文数据。
标红部分是zheweijush的ASCII码,可以理解为明文数据
看起来是实锤了,相信sougou这么做的原因无非是降低成本,每天有海量的数据,如果要加密,速度变慢,服务器压力变大,导致成本过高。
(3)但是!事情并没有这么简单,比较敏感的数据是密码和电脑端微信记录。我又尝试了登陆qq邮箱和在微信中聊天,发现qq邮箱的密码传输是加密的。微信聊天没有发现sougou在上传数据(这一部分先存疑,有没有大佬来告知这一部分是不是sougou以另外的方式上传了。)
(4)另外,在知乎中使用sougou输入法,也没有发现sougou输入法在上传文字。抓到zhihu传输的数据包不是明文。
目前的结论是: 从电脑端来看,输入法可能会泄密一些不太重要的信息,不需要太焦虑。
坏消息——会,而且很有可能被人拿出来卖了。不然你以为那些银行的APP为啥要搞一个卡的要死的“安全键盘”?
不过好消息也是有的,那就是你的个人信息早就被卖的满街都是了。没必要因此担惊受怕
Highlights
(99+ 封私信 / 82 条消息) 输入法会不会泄漏个人机密? - 知乎
by 柳上莺柳浪闻莺,垂绦弄水,尽抛欢场情无数。 关注, www.zhihu.com • See original
完全有可能。
看了一下搜狗输入法的“用户体验改进计划隐私保护声明”。 ⤴️
只说搜狗输入法自动获取的信息就有你操作的设备硬件、软件、版本各类设备信息,由GPS、WiFi得到的位置信息。这已经足够敏感了,现在的手机定位能力都很强,一个输入法可以随时得到你的实时位置。(一 2 3)
最敏感的信息来了,4日志信息(1)中提到会自动收集网页搜索词语、访问页面地址和“使用搜狗公司服务时浏览或要求提供的其他信息和内容详情”(用人话说可能是收集你浏览的搜狗输入法弹出的新闻窗口一类)。(一 4 (1)) ⤴️
有意思的是,这个图在微信上发不出去,我在图上加了一条红线才发送给微信电脑端。因为这个事还有一个问题,有人怀疑有些图或者文件在微信上发不出去,是因为微信能够识别我们的聊天记录。实际上微信是通过md5码来识别这个图或者文件的,md5码是一种加密算法,是根据文件内容加密生成的。如果你想发出去,可以稍微改动一下,这样产生的md5码就变了,微信也就无法封禁了 ⤴️