多款拼音鍵盤輸入法存在漏洞,有可能向攻擊者洩漏輸入內容
→ Оригинал (без защиты от корпорастов) | Изображения из статьи: [1]
開發者為了能讓中文輸入法應用程式能預測使用者接下來可能會輸入的文字,往往透過雲端提供相關功能,但若是沒有充分的保護措施,這種輸入法很有可能被攻擊者當作監控軟體,或是另類的「鍵盤側錄工具」。 對此,加拿大公民實驗室(Citizen Lab)對於中國市面上常見的拼音輸入法著手進行調查,他們針對9家供應商的Windows、iOS、安卓版輸入法程式進行檢測,結果發現,除華為以外的供應商,他們提供的輸入法軟體都存在漏洞,而能被攻擊者得知用戶輸入的內容。 研究人員估計,約有近10億使用者會受到上述輸入法的弱點影響。因為,光是搜狗、百度、科大訊飛(iFlytek)的輸入法,在中國第三方輸入法市占就超過95%,約有10億人使用。 另一方面,榮耀、Oppo、小米裝置預載的輸入法,也曝露上述危險,而這3個廠牌的智慧型手機去年在中國擁有近50%市占。 對此,他們向所有輸入法供應商通報漏洞,大多數都做出回應並進行修補。值得留意的是,百度修補了他們獲報最嚴重的漏洞,但仍有部分尚未處理;對於QQ拼音的部分,騰訊宣稱將在今年第1季升級旗下產品採用HTTPS通訊,但截至4月1日,研究人員發現該公司並未發布新版修補相關漏洞。 `;
const widget = data?.bottomBarWebinar?.map((item) => {
item.url = getLink(item);
item.time = formatTime(item.duration);
return item;
});
widget?.forEach((item) => {
listElm += renderElm(item);
});
listElm += " ";
const rootElm = document.getElementById("itplusArticleBottom");
rootElm.innerHTML = listElm;
}
function setSignup(item) {
if (isSignupOpen(item) === true) {
return `立即報名`;
}
return "";
}
function isSignupOpen(item) {
const fromStr = item.registerStarted;
const toStr = item.registerFinished;
let isOpen = false;
if (
item.type == "webinar" &&
fromStr.length > 0 &&
toStr.length > 0
) {
const from = new Date(fromStr).getTime();
const to = new Date(toStr).getTime();
const current = Date.now();
if (current >= from && current <= to) {
isOpen = true;
}
}
return isOpen;
}
function getLink(item) {
let link = "";
switch (item.type) {
case "vod":
link = `${rootUrl}/vod-page/${item.id}${utmStr}`;
break;
case "replay":
case "webinar":
link = `${rootUrl}/webinar-page/${item.id}${utmStr}`;
break;
}
return link;
}
function formatTime(timeStr) {
const timeArr = timeStr.split(":");
const newTime = Number(timeArr[0]) * 60 + Number(timeArr[1]);
return newTime;
}
function getSuffix(item) {
let elm = "";
if (item.type == "webinar" && item.liveStatus == "直播中") {
elm += `直播中`;
} else if (item.webinarstarted.length > 0) {
elm += `${item.webinarstarted} `;
} else {
elm = "";
}
return elm;
}
function renderElm(item) {
const result = `