時(shí)尚的網(wǎng)絡(luò)用語(yǔ)以及多變的皮膚，第三方輸入法往往成為替代手機(jī)自帶輸入法的最佳選擇。

但如果這些虛擬鍵盤(pán)會(huì)泄露你的數(shù)據(jù)……

最近，據(jù)外媒報(bào)道，第三方鍵盤(pán)應(yīng)用 AI.type 因儲(chǔ)存信息的服務(wù)器未加密保護(hù)而泄露了超過(guò) 3100 萬(wàn)用戶的個(gè)人數(shù)據(jù)。而儲(chǔ)存在服務(wù)器上超過(guò) 577 GB 的用戶敏感數(shù)據(jù)，包括用戶的完整名字、電子郵件地址，以及應(yīng)用安裝的時(shí)長(zhǎng)，甚至每條記錄還包括用戶的精確位置，如城市和國(guó)家。

免費(fèi)版收集數(shù)據(jù)更多？

總部位于以色列特拉維夫的 AI.Type 宣稱全球擁有超過(guò) 4000 萬(wàn)的用戶量。而最先發(fā)現(xiàn)其數(shù)據(jù)庫(kù)未加密的 Kromtech 安全中心的安全研究人員卻質(zhì)疑其收集用戶信息與該虛擬鍵盤(pán)功能無(wú)關(guān)。

畢竟在研究人員安裝 Ai.Type 時(shí)發(fā)現(xiàn)，用戶必須允許其“完全訪問(wèn)”存儲(chǔ)在測(cè)試 iPhone 上的所有數(shù)據(jù)，甚至包括曾經(jīng)的鍵盤(pán)數(shù)據(jù)。

你以為這就結(jié)束了嗎？

當(dāng)然沒(méi)有，研究人員還在其中某個(gè)泄露的數(shù)據(jù)庫(kù)中發(fā)現(xiàn)了 3.746 億個(gè)手機(jī)號(hào)碼及 1070 萬(wàn)個(gè)電子郵箱地址，以及針對(duì)不同地區(qū)用戶 Google 查詢的平均信息量、信息字?jǐn)?shù)、用戶年齡等數(shù)據(jù)的統(tǒng)計(jì)表格。

一個(gè)第三方輸入程序?yàn)槭裁葱枰占脩羰謾C(jī)或平板電腦的全部數(shù)據(jù)呢？

除此之外，AI.type 分為付費(fèi)版本與免費(fèi)版本，而根據(jù)其隱私政策，其免費(fèi)版本收集的用戶信息更為詳細(xì)，包括設(shè)備的 MSI 和 IMEI，型號(hào)，屏幕分辨率和 Android 版本，甚至還有手機(jī)號(hào)碼、服務(wù)商、IP 地址，用戶公開(kāi)的 Google 賬號(hào)信息，用戶在設(shè)備上安裝的應(yīng)用列表等。而這些數(shù)據(jù)一般被該公司用于廣告盈利。

安卓用戶再次淪陷

稍顯奇怪的是，研究人員發(fā)現(xiàn) AI.type 數(shù)據(jù)庫(kù)中似乎只出現(xiàn)了 Android 用戶的個(gè)人信息，也就是說(shuō) iOS 用戶信息未被泄露。

移動(dòng)安全愛(ài)好者無(wú)名俠告訴雷鋒網(wǎng)，這與 iOS 系統(tǒng)本身防御無(wú)關(guān)，主要由于 App store 隱私政策禁止一切應(yīng)用收集用戶的個(gè)人信息（如電子郵件、序列號(hào)等），即 Ai.type 可能并沒(méi)有收集 iOS 用戶的數(shù)據(jù)，所以不存在 iOS用戶信息泄露。另外，這次信息泄露的源頭是服務(wù)器，ai.type 由于未對(duì)服務(wù)器的數(shù)據(jù)進(jìn)行加密才導(dǎo)致大量泄露，如果服務(wù)端存在 iOS 用戶的數(shù)據(jù)，也難以躲過(guò)這一場(chǎng)浩劫。

目前 AI.type 的聯(lián)合創(chuàng)始人 Eitan Fitusi 稱公司已經(jīng)對(duì)數(shù)據(jù)庫(kù)進(jìn)行了加固操作，但他沒(méi)有就此事發(fā)表評(píng)論。

盡管作為英文輸入法的 Ai.type 并不會(huì)對(duì)國(guó)內(nèi)大量用戶產(chǎn)生影響，但也引發(fā)了圍觀群眾對(duì)國(guó)內(nèi)第三方輸入法應(yīng)用的擔(dān)憂，畢竟這些輸入法無(wú)時(shí)無(wú)刻都在上傳用戶的個(gè)人信息。無(wú)名俠也在此建議用戶禁止輸入應(yīng)用的網(wǎng)絡(luò)訪問(wèn)。

關(guān)于數(shù)據(jù)庫(kù)保護(hù)

未對(duì)數(shù)據(jù)庫(kù)加密的第三方輸入法遠(yuǎn)不止 Ai.type，如此大規(guī)模的用戶數(shù)據(jù)泄露的確為廠商敲響了警鐘。值得思考的是，如何保證虛擬鍵盤(pán)應(yīng)用數(shù)據(jù)庫(kù)的數(shù)據(jù)安全？

無(wú)名俠告訴雷鋒網(wǎng)，目前，Android 應(yīng)用都會(huì)使用 Android 提供的 Sqlite 數(shù)據(jù)庫(kù)。Sqlite 數(shù)據(jù)庫(kù)本身支持加密，加密的 Sqlite 數(shù)據(jù)庫(kù)將不能被直接訪問(wèn)。Sqlite 數(shù)據(jù)庫(kù)是存放在用戶手機(jī)本地的，但即使有加密，也可以通過(guò)逆向分析和動(dòng)態(tài)調(diào)試等手段獲得數(shù)據(jù)庫(kù)密碼。

當(dāng)然，這很大程度上取決了系統(tǒng)的安全性，Android 系統(tǒng)在非 root 情況下，應(yīng)用之間的數(shù)據(jù)庫(kù)是不能互相訪問(wèn)，這一定程度上保護(hù)了 APP 私有數(shù)據(jù)的安全性。如果 Android 系統(tǒng)被 Root，那么其它惡意程序就能很容易得訪問(wèn)到正常程序的數(shù)據(jù)庫(kù)。所以建議 Android 用戶盡量不要 root，iOS 用戶盡量不要越獄。

無(wú)名俠也建議廠商對(duì)本地?cái)?shù)據(jù)庫(kù)設(shè)置密碼并對(duì)存儲(chǔ)的數(shù)據(jù)進(jìn)行二次加密，數(shù)據(jù)通信采用 HTTPS 協(xié)議并對(duì)服務(wù)器證書(shū)進(jìn)行校驗(yàn)，數(shù)據(jù)包一律添加簽名字段，盡可能保證服務(wù)端收到數(shù)據(jù)的真實(shí)性。

（打完這篇文章，雷鋒網(wǎng)編輯默默卸載了剛換了皮膚的輸入法……）

文章參考自hackread

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。