伙呆!go输入法竟然背着你做了这些事!-k8凯发棋牌

伙呆!go输入法竟然背着你做了这些事!
作者:安全客 发布时间:2017-09-26

简介

你有没有想过你的输入法可能是一个专业的间谍?当然了,我们所说的并不是好莱坞电影中英俊的间谍人物,而是关于持续收集个人信息和个人电话,并将其泄露给第三方的的间谍软件。我们最近就发现了一个这样的间谍软件,它是一款流行的android输入法软件,开发者利用它持续监控用户,将大量的用户个人信息发送到远程服务器,并使用一种特殊的技术下载危险的可执行代码。

这项研究的目的是调查输入法的流量消耗、不必要的行为和广告演示,以及他们将用户的哪些隐私数据发送到远程服务器及第三方服务商。我们决定首先对touchpal(触宝)输入法进行测试,它最近会在htc设备中用户打字的区域显示广告。为什么这个事那么重要?要知道,输入法几乎可以接触你所有高价值的隐私数据,例如你的登录名,密码,邮件内容,发送的短信,假设,这些信息都被发送(甚至是卖)给了第三方,后果非常严重。而go输入法

绝对是输入法领域的“冠军”,这款由gomo团队开发的应用,凭借着“智能”的输入法,色彩斑斓、吸引人的主题,在世界各地拥有2亿多的用户。

你应该知道的臭名昭著的go输入法的那些事儿

它在谷歌商店上架了两个版本(1,2)

它有2亿 的下载量

它宣传自己“we will never collect your personal info including credit card information. in fact, we cares for privacy of what you type and who you type!!”(我们不会收集您的个人信息,包括信用卡信息。事实上,我们关心你输入内容的隐私和你打字的人的隐私!)

它的隐私策略与此相矛盾

它与数十家第三方广告商有合作。它会下载14mb左右的数据,并在用户安装后,发送大量用户的个人信息

它可以访问敏感数据,包括你的身份信息,电话记录,联系人,麦克风

不幸的是,上面列出的一切都是现在的标准。最近的研究显示,10个移动应用程序中会有7个与第三方服务共享你的数据。然而,go输入法的开发人员越过了红线,直接违反了谷歌商店的内容策略——恶意行为部分。

红线

apps that steal a user’s authentication information (such as usernames or passwords) or that mimic other apps or websites to trick users into disclosing personal or authentication information.(窃取用户身份验证信息(如用户名或密码)或模仿其他应用程序或网站,以诱使用户披露个人或身份验证信息的应用程序。)

未经用户授权,go输入法私自将用户的个人信息及设备信息,除设备语言,imsi,位置,网络类型,屏幕尺寸,android版本,设备类型等信息外,它还会将用户google账户邮件账号发送到远程服务器。

apps or sdks that download executable code, such as dex files or native code, from a source other than google play.(从google商店以外的其他来源下载可执行代码(例如dex文件或本地代码)的应用程序或sdk。)

安装后,这两款go输入法都会从远程服务器下载并执行代码,这种行为直接违反了上述策略。一些下载插件也被反病毒引擎标记为adware或者pup。

重要的是,应该考虑到授予应用程序广泛权限的后果,远程代码执行会带来严重的安全和隐私风险。在任何时候,服务器所有者可能会改变应用程序的行为,这个时候就不仅仅是窃取你的电子邮件地址,而是想做什么就做什么了。记住,这是一个输入法,你输入的每一个重要信息都经过它!

目前,adguard已经向谷歌上报了go输入法的违规行为,并等待回复。拥有2亿用户并不能成为程序值得信赖的标准,也不要盲目相信手机应用程序,在安装之前应充分检查他们的隐私策略和请求的权限。

样本可通过janus搜索以下包名进行进一步分析:

com.jb.emoji.gokeyboard

com.jb.gokeyboard

原文链接:http://bobao.360.cn/news/detail/4339.html


网站地图