译者:Janus情报局
预估稿费:110RMB
投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿
简介
你有没有想过你的输入法可能是一个专业的间谍?当然了,我们所说的并不是好莱坞电影中英俊的间谍人物,而是关于持续收集个人信息和个人电话,并将其泄露给第三方的的间谍软件。我们最近就发现了一个这样的间谍软件,它是一款流行的Android输入法软件,开发者利用它持续监控用户,将大量的用户个人信息发送到远程服务器,并使用一种特殊的技术下载危险的可执行代码。
这项研究的目的是调查输入法的流量消耗、不必要的行为和广告演示,以及他们将用户的哪些隐私数据发送到远程服务器及第三方服务商。我们决定首先对TouchPal(触宝)输入法进行测试,它最近会在HTC设备中用户打字的区域显示广告。为什么这个事那么重要?要知道,输入法几乎可以接触你所有高价值的隐私数据,例如你的登录名,密码,邮件内容,发送的短信,假设,这些信息都被发送(甚至是卖)给了第三方,后果非常严重。而Go输入法
绝对是输入法领域的“冠军”,这款由GOMO团队开发的应用,凭借着“智能”的输入法,色彩斑斓、吸引人的主题,在世界各地拥有2亿多的用户。
你应该知道的臭名昭著的Go输入法的那些事儿
它在谷歌商店上架了两个版本(1,2)
它有2亿+的下载量
它宣传自己“We will never collect your personal info including credit card information. In fact, we cares for privacy of what you type and who you type!!”(我们不会收集您的个人信息,包括信用卡信息。事实上,我们关心你输入内容的隐私和你打字的人的隐私!)
它的隐私策略与此相矛盾
它与数十家第三方广告商有合作。它会下载14MB左右的数据,并在用户安装后,发送大量用户的个人信息
它可以访问敏感数据,包括你的身份信息,电话记录,联系人,麦克风
不幸的是,上面列出的一切都是现在的标准。最近的研究显示,10个移动应用程序中会有7个与第三方服务共享你的数据。然而,Go输入法的开发人员越过了红线,直接违反了谷歌商店的内容策略——恶意行为部分。
红线
Apps that steal a user’s authentication information (such as usernames or passwords) or that mimic other apps or websites to trick users into disclosing personal or authentication information.(窃取用户身份验证信息(如用户名或密码)或模仿其他应用程序或网站,以诱使用户披露个人或身份验证信息的应用程序。)
未经用户授权,Go输入法私自将用户的个人信息及设备信息,除设备语言,IMSI,位置,网络类型,屏幕尺寸,Android版本,设备类型等信息外,它还会将用户Google账户邮件账号发送到远程服务器。
Apps or SDKs that download executable code, such as dex files or native code, from a source other than Google Play.(从Google商店以外的其他来源下载可执行代码(例如dex文件或本地代码)的应用程序或SDK。)
安装后,这两款Go输入法都会从远程服务器下载并执行代码,这种行为直接违反了上述策略。一些下载插件也被反病毒引擎标记为Adware或者PUP。
重要的是,应该考虑到授予应用程序广泛权限的后果,远程代码执行会带来严重的安全和隐私风险。在任何时候,服务器所有者可能会改变应用程序的行为,这个时候就不仅仅是窃取你的电子邮件地址,而是想做什么就做什么了。记住,这是一个输入法,你输入的每一个重要信息都经过它!
目前,Adguard已经向谷歌上报了Go输入法的违规行为,并等待回复。拥有2亿用户并不能成为程序值得信赖的标准,也不要盲目相信手机应用程序,在安装之前应充分检查他们的隐私策略和请求的权限。
样本可通过Janus搜索以下包名进行进一步分析:
com.jb.emoji.gokeyboard
com.jb.gokeyboard