据哔哩哔哩 UP 主 @EPCDIY 以及 360 安全工程师边亮联合发布的视频,他们发现某知名手机品牌内置的中文输入法竟然还使用 HTTP 明文协议传输数据。
等等... 什么?传输数据?是的,其内置的某狗输入法会将用户的所有输入记录全部上传到云端,而且这些数据还会被共享给广告商,比如在视频演示中,使用该输入法输入一段包含猫咪很可爱、我想买一只猫,结果过会儿打开某二手交易平台立即出现了猫咪相关的内容,连搜索框默认搜索词都变成了宠物。
UP 主没有说这个手机品牌是什么,不过看视频很容易发现,这就是三星,其内置的中文输入法为搜狗手机输入法定制版。
搜狗输入法以及国内几款知名的输入法在多年前就被发现会上传用户的所有输入内容,而且也是明文传输的,按照正常解释,因为开启了云输入功能所以要被收集数据来提高输入的精准度。
插播欢迎回顾:有些事情你记不得了,输入法还帮你记着
不过被曝光后至少搜狗输入法早就切换为 HTTPS 加密传输,如果用户开启了云输入还是会被上传数据,但一般情况下不是那么容易被劫持了。
而三星和国内其他手机厂商一样也找搜狗输入法进行了定制,应该说搜狗输入法给 OEM 厂商某些版本,由厂商自己进行开发和定制,比如之前某米在定制的搜狗输入法里插入广告。
所以这事儿要甩锅给搜狗输入法确实不太合适,只能说是三星自己的锅,都 2024 年了,三星竟然还使用 HTTP 明文协议能传输输入内容这么敏感的数据。
而且根据相关协议,三星将这些数据分享给 30 多个 SDK,这些 SDK 里自然也包含广告类的 SDK,所以为什么输入个内容其他平台就出现了推荐呢?原因就是输入法把你卖了。
根据 UP 主的说明,这个问题此前已经通报给了三星,三星承认问题并发布补丁进行修复,现在视频公开了应该就是修复了。
另外如果你确实要使用这类会收集用户输入内容的输入法,那建议直接关闭它们的联网功能,关闭后就不会被收集数据了,但代价就是输入精度会下降。
比如蓝点网 PC + 手机都使用某某输入法,都是完全禁止联网的,但日常也发现错别字会比较多。
版权声明:感谢您的阅读,除非文中已注明来源网站名称或链接,否则均为蓝点网原创内容。转载时请务必注明:来源于蓝点网、标注作者及本文完整链接,谢谢理解。