当前位置:安全客 >> 资讯详情

【国际资讯】伙呆!Go输入法竟然背着你做了这些事!

2017-09-25 15:29:16 阅读:37198次 收藏 来源: adguard.com 作者:Janus情报局

http://p0.qhimg.com/t01ab8ec49a7b054394.png

译者:Janus情报局

预估稿费:110RMB

投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿


简介


你有没有想过你的输入法可能是一个专业的间谍?当然了,我们所说的并不是好莱坞电影中英俊的间谍人物,而是关于持续收集个人信息和个人电话,并将其泄露给第三方的的间谍软件。我们最近就发现了一个这样的间谍软件,它是一款流行的Android输入法软件,开发者利用它持续监控用户,将大量的用户个人信息发送到远程服务器,并使用一种特殊的技术下载危险的可执行代码。

 这项研究的目的是调查输入法的流量消耗、不必要的行为和广告演示,以及他们将用户的哪些隐私数据发送到远程服务器及第三方服务商。我们决定首先对TouchPal(触宝)输入法进行测试,它最近会在HTC设备中用户打字的区域显示广告。为什么这个事那么重要?要知道,输入法几乎可以接触你所有高价值的隐私数据,例如你的登录名,密码,邮件内容,发送的短信,假设,这些信息都被发送(甚至是卖)给了第三方,后果非常严重。而Go输入法

绝对是输入法领域的“冠军”,这款由GOMO团队开发的应用,凭借着“智能”的输入法,色彩斑斓、吸引人的主题,在世界各地拥有2亿多的用户。


你应该知道的臭名昭著的Go输入法的那些事儿


它在谷歌商店上架了两个版本(1,2)

它有2亿+的下载量

它宣传自己“We will never collect your personal info including credit card information. In fact, we cares for privacy of what you type and who you type!!”(我们不会收集您的个人信息,包括信用卡信息。事实上,我们关心你输入内容的隐私和你打字的人的隐私!)

http://p6.qhimg.com/t013bfcfaa7aeb357cc.png

它的隐私策略与此相矛盾

它与数十家第三方广告商有合作。它会下载14MB左右的数据,并在用户安装后,发送大量用户的个人信息

它可以访问敏感数据,包括你的身份信息,电话记录,联系人,麦克风

不幸的是,上面列出的一切都是现在的标准。最近的研究显示,10个移动应用程序中会有7个与第三方服务共享你的数据。然而,Go输入法的开发人员越过了红线,直接违反了谷歌商店的内容策略——恶意行为部分。


红线


Apps that steal a user’s authentication information (such as usernames or passwords) or that mimic other apps or websites to trick users into disclosing personal or authentication information.(窃取用户身份验证信息(如用户名或密码)或模仿其他应用程序或网站,以诱使用户披露个人或身份验证信息的应用程序。)

未经用户授权,Go输入法私自将用户的个人信息及设备信息,除设备语言,IMSI,位置,网络类型,屏幕尺寸,Android版本,设备类型等信息外,它还会将用户Google账户邮件账号发送到远程服务器。

http://p7.qhimg.com/t01ee8919968c7724f0.png

Apps or SDKs that download executable code, such as dex files or native code, from a source other than Google Play.(从Google商店以外的其他来源下载可执行代码(例如dex文件或本地代码)的应用程序或SDK。)

安装后,这两款Go输入法都会从远程服务器下载并执行代码,这种行为直接违反了上述策略。一些下载插件也被反病毒引擎标记为Adware或者PUP。

http://p4.qhimg.com/t013a70a6347749af79.png

重要的是,应该考虑到授予应用程序广泛权限的后果,远程代码执行会带来严重的安全和隐私风险。在任何时候,服务器所有者可能会改变应用程序的行为,这个时候就不仅仅是窃取你的电子邮件地址,而是想做什么就做什么了。记住,这是一个输入法,你输入的每一个重要信息都经过它!

目前,Adguard已经向谷歌上报了Go输入法的违规行为,并等待回复。拥有2亿用户并不能成为程序值得信赖的标准,也不要盲目相信手机应用程序,在安装之前应充分检查他们的隐私策略和请求的权限。

 样本可通过Janus搜索以下包名进行进一步分析:

com.jb.emoji.gokeyboard

com.jb.gokeyboard


本文由 安全客 翻译,转载请注明“转自安全客”,并附上链接。
原文链接:https://blog.adguard.com/en/go-spy-go-popular-android-keyboard-from-china-crosses-the-red-line/

参与讨论,请先 | 注册 | 匿名评论
发布
用户评论
匿名用户 2017-10-30 10:38:03
回复 |  点赞

我现在用Gboard还能集成搜索功能以及翻译。

snow2sun 2017-09-30 09:35:43
回复 |  点赞

如果要做的话原理是相同的,ios也不能幸免,手机银行尽量使用手机银行app自带安全键盘

爱熊之心 2017-09-25 17:31:48
回复 |  点赞

不知道现在的iOS输入法有没有类似这样的事情(本条内容用iOS版的搜狗输入法输入)

爱熊之心 2017-09-25 17:31:48
回复 |  点赞

不知道现在的iOS输入法有没有类似这样的事情(本条内容用iOS版的搜狗输入法输入)

腾飞YIT 2017-09-25 16:02:33
回复 |  点赞

建议行业封杀

腾飞YIT 2017-09-25 16:01:52
回复 |  点赞

建议行业封杀

打杂公 2017-09-25 15:42:30
回复 |  点赞

...

打杂公 2017-09-25 15:41:52
回复 |  点赞

...

查看更多