国外流行的输入法Ai.Type泄露3,100万名用户数据
国外非常流行的虚拟输入法Ai.Type日前被发现服务器未经安全加密而泄露了超过3,100万名用户的详细数据。
泄露的数据甚至包含用户通讯录中的联系人信息,这意味着该输入法私自将用户敏感信息全部上传到服务器。
这些数据总量涵盖了3,100 万名用户且数据量达到577GB,目前尚不清楚数据库是否已经在此之前就被窃取。
免费输入法收集大量用户信息:
该输入法分为免费版本和付费版本,其中多数用户使用的免费版本会收集用户大量私密信息用于推送广告等。
包括用户的谷歌账号以及电子邮件、用户的位置信息、用户安装的应用列表以及部分用户通讯录中的联系人。
尽管该输入法在谷歌商店中称对于用户输入的内容进行加密保护,但显然这就只是个口头承诺没有任何作用。
该输入法不但违反隐私政策上传用户通讯录信息,还将信息以明文存储的形式直接上传到服务器上进行保存。
极其夸张的是安全人员称该公司的服务器没有进行加密,这意味着任何人只要发现服务器地址即可下载数据。
用户输入的内容同样会被上传:
几乎所有输入法都称自己不会上传用户的输入内容,但也几乎没有输入法真正做到不会将用户输入记录上传。
例如蓝点网此前转载的文章《有些事情你记不得了,输入法还帮你记着》,就发现国内输入法几乎都会上传。
而移动端的各个输入法没有测试但想必和 PC 上也是相同,用户的输入记录统统都被上传到服务器上保存着。
这款国外的输入法和国内的输入法也没什么区别,直接将用户键入内容直接上传可能是用来分析输入内容的。
最不靠谱的就是输入法:
这款输入法在安装后会要求提供定位、访问联系人数据、访问照片、录制音频内容及完全的网络访问权限等。
这些输入法对于此类权限都会加上冠冕堂皇的理由,比如不少输入法读取通讯录会称这是为了输入名字方便。
但在你不知道的情况下这些输入法已经将你的通讯录完全上传,而这些电话号码很多可能都是拿来发广告的。
因此对于所有的输入法凡是能不给权限的全部都应该禁止,不要听信所谓方便开启权限后私密信息全部泄露。