[转载]事关隐私安全,我们要高度警惕并远离这些数据泄露风险巨大的输入法软件!

搜狗输入法收集用户隐私数据只是一个典型案例,此类输入法是我们最大的PC或手机上最大的窃私者。当然,这包括腾讯输入法、百度输入法、讯飞输入法等。

如果你对自己的网络及计算机数据的保密比较重视,那么你对各种数据传输、数据备份、GPS定位、软件信息读取、VPN加密数据传输等都比较关注并有一定的了解。但是今天我所说的,也许是你所遗漏的非常重要的一个节点。它几乎记录了你所有的网络行为,包括PC、手机等各种终端设备。

什么东西那么重要,以至于将对我们产生如此重大的影响,那就是输入法。也许在早年的时候,你听说过360和腾讯的3Q大战,那些大厂商打的你死我活。都是为什么呢?其实说到底,就是为了掌控你的电脑的网络控制权。这个事件引起了人们极大的关注,但是很多吃瓜民众都只是站在看热闹的角度。

今天我们说说与我们息息相关的另一个软件,而且是每台电脑必备的输入法。输入法是人机交流的唯一途径,当然现在也有语音识别控制。但是无论是文字键入方式还是语音输入方式,说到底都是一种人机交互。

在中文输入法中,据2018年相关数据显示,搜狗输入法占到整个市场的70.9%。搜狗输入法+百度输入法+讯飞输入法,三家之和的市场占有率达到91.8%。这基本可以说,中国全民都在使用这三家的输入法。

从我分析的角度,将输入法分为单机版和联网版。什么叫单机版我就不再这里啰嗦了,大家一听应该就明白了。我们重点要说的是互联网版的输入法。什么叫互联网版呢?我们已搜狗输入法为例来进行解剖。看看有哪些坑将会泄露我们的个人数据(百度和讯飞都是搜狗为标杆的产品)。

坑一:用户账号登陆;

坑二:用户数据与搜狗服务器数据进行同步;你应该碰到过当你使用一台新电脑的时候,下载Sogou输入法,你需要登陆你之前使用的账号,之后再进行同步!OK !你在之前电脑上使用的用户习惯、词频等都将同步到你这台新电脑的输入法中。

搜狗输入法用户数据与搜狗服务器数据进行同步

搜狗输入法账号登陆数据同步界面

坑三:用户录入字数统计;我不知道你有没有看过这个功能,你每天录入多少字,人家都帮你记录下来了。

搜狗输入法用户录入字数统计

输入字数统计

搜狗输入法录入速度统计

搜狗输入法的录入速度统计

搜狗输入法公司,有了这些功能之后,你的所有的数据都将被实时记录。另一个切入点是你的登陆方式,现在搜狗输入法的登陆主要是QQ登陆、微信登陆、小米账号登陆、手机邮箱登陆。这几种登陆方式中只有匿名的邮箱登陆相对会好一点,其它登陆方式都将是被实名制登陆的。一旦进行实名制登陆,网监可以将搜狗输入法的账号和实名认证账号进行匹配,从而定位该输入法的使用者和所有者。同时需要说明即使你是使用邮箱登陆也不是安全的。例如你使用了google邮箱进行登陆,之后使用该输入法,在使用期间,你总要输入一些例如QQ、手机号、公司名称、家庭地址等之类的能够和你的个人进行关联的信息吧。网监就可以通过大数据,分分钟将你的信息进行匹配。不出5分钟,就可以将你的个人信息进行定位。

打个不恰当的比方,例如你今天心血来潮,忽然想看看苍井空或波多野结衣,那么你肯定要在PC或手机上输入她们的名字或网址吧。你这一输入,相当于就是在告诉网监,你在找苍井空或波多野结衣的信息,你至少这方面讯息的需求。

撇开其它,我们再来开一个脑洞,我们反过来思考。如果网监或输入法公司希望找所有的女性用户。那也很容易,只要对相应的关键词进行监控:如卫生间、女装、怀孕等等,分分钟就可以筛选出来。如果希望找到有移民倾向的人,只要监控时常输入:移民、换汇、海外等类似关键词就可以找到该人群。

另外我们在设备中,肯定是要输入各种账号、密码。这些东西都是通过什么实现的呢?当然是输入法。如果哪天被网监盯上了,网监需要查看的个人信息,通过输入法公司就可以得到你的账号密码及发送邮件的信息。只要你是通过输入法录入都可以被监控和记录。想想是不是很可怕?

我在这里想说明,我不是说科技的进步不好。输入法和互联网进行结合,确实给用户带来了很大的方便。但是,技术从来都是一把双刃剑,就看这把剑握在谁的手里。

题外话:很多使用VPN进行翻墙的用户一直在最求多少多少安全的VPN服务商,什么信道加密,数据加密。其实,只要你的输入法是如上所说的。你认为那些个加密有用吗?你在最最基础的底层应用层面就已经被人全部记录了。

如何逃脱这种控制呢?其实没有什么好的办法。目前相对,只是相对安全的就是使用单机版的输入法或使用对隐私保护力度大的国家的输入法。


苹果公司对于第三方键盘的隐私声明:

以下橙色申明内容来自“Apple iPhone – 设置 – 键盘 – 关于第三方键盘与隐私…”,在Apple的声明中已经非常明确说明,当安装第三方输入法时,如果开启“允许安全访问”权限,那么该输入法将可以获取你的设备中的各种个人隐私数据。根据我的测试,如果不开启“允许安全访问”权限,那么将无法正常使用如:搜狗输入法、百度输入法、讯飞输入法、QQ输入法、谷歌输入法、Gboard等。几乎所有的输入在该设置的位置几乎都是强制用户开启“允许安全访问”权限,否则将无法使用该服务。对于普通用户而言要做的就是信任谁就使用谁,当你使用默认设备输入法也是一个选择。

“ 第三方键盘提供了另一种途径来键入键盘数据。这些键盘可以访问您键入的所有数据,包括银行账户、信用卡号码、街道地址及其他个人信息与敏感信息。这些键盘还可能访问相邻文本及数据,这些信息对改进自动更正功能卓有帮助。

如果您启用“完全访问”,开发者即获得许可访问、收集与传输您键入的数据。此外,如果附带键盘的第三方应用程序获得您的许可访问地理位置信息、照片、或其他个人数据,那么此键盘也可收集并将该信息传输至键盘开发者的服务器上。如果您停用某第三方键盘的“完全访问”,之后再重新启用,那么键盘开发者则可能能够访问、收集并传输网络访问禁用期间所键入的信息。

如果您不启用“完全访问”,那么开发者则不可收集与传输您键入的数据。未经您许可,任何未授权的数据收集或传输行为均违反其开发者协议。此外,技术限制同样在防止未经许可的访问方面起作用。任何试图破坏此类限制的尝试同样违反开发者协议。”


2021年1月31日《南方周末》报道:根据 Mob 研究院数据,2020 年搜狗、讯飞和百度三家输入法占据了国内市场九成的活跃用户,其中搜狗占有率最高,54%。易观一组数据表明,中国第三方输入法的活跃用户在2019年达到7.71亿。2020 年 9 月,腾讯全资收购了搜狗。第三方输入法被广泛使用,但其潜在的隐私问题也日益引起关注。搜狗、讯飞和百度三家的隐私协议表示,用户信息共享方主要为输入法服务商的关联公司、合作伙伴。合作伙伴包括广告、分析、信息推广服务类的授权合作伙伴,供应商、服务提供商和其他合作伙伴如第三方SDK,以及提供风控服务的合作方。

南方周末梳理三份隐私政策,输入法软件可能收集的用户信息有11类,涉及调用的手机权限有12项。如下图所示

手机输入法调用软件权限情况调查


新闻导读:

  1. 中国网信办通报15款输入法应用,违反必要原则,收集与其提供的服务无关的个人信息-2021年5月1日
    输入法违规收集信息报道
  2. 微信将以保护用户隐私为由 推出专用输入法
  3. 艾媒咨询|2020中国第三方手机输入法市场疫期专题报告
  4. 搜狗将被腾讯全资收购,且搜狗将退出纽约证券交易所退市,成为一家私人控股公司
    2020年7月27日晚间,搜狗发布公告称,收到来自腾讯的有意收购公司的初步非约束性要约,腾讯将全资收购搜狗,交易形式为全资,交易价格为每股9美元。交易前,腾讯即为搜狗单一最大股东,持股38.71%,超过搜狐的33.44%。交易完成后,搜狗将成为腾讯的全资子公司,搜狗ADS(美国存托凭证)将从纽约证券交易所退市,成为一家私人控股公司。搜狗旗下主营业务:搜狗浏览器、搜狗输入法等。

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注

error: Alert: Content is protected !!