客服QQ:872490018 服务时间:9:00-21:00

伙呆!Go输入法竟然背着你做了这些事!

简介

你有没有想过你的输入法可能是一个专业的间谍?当然了,我们所说的并不是好莱坞电影中英俊的间谍人物,而是关于持续收集个人信息和个人电话,并将其泄露给第三方的的间谍软件。我们最近就发现了一个这样的间谍软件,它是一款流行的Android输入法软件,开发者利用它持续监控用户,将大量的用户个人信息发送到远程服务器,并使用一种特殊的技术下载危险的可执行代码。

这项研究的目的是调查输入法的流量消耗、不必要的行为和广告演示,以及他们将用户的哪些隐私数据发送到远程服务器及第三方服务商。我们决定首先对TouchPal(触宝)输入法进行测试,它最近会在HTC设备中用户打字的区域显示广告。为什么这个事那么重要?要知道,输入法几乎可以接触你所有高价值的隐私数据,例如你的登录名,密码,邮件内容,发送的短信,假设,这些信息都被发送(甚至是卖)给了第三方,后果非常严重。而Go输入法

绝对是输入法领域的“冠军”,这款由GOMO团队开发的应用,凭借着“智能”的输入法,色彩斑斓、吸引人的主题,在世界各地拥有2亿多的用户。

你应该知道的臭名昭著的Go输入法的那些事儿

它在谷歌商店上架了两个版本(1,2)

它有2亿+的下载量

它宣传自己“We will never collect your personal info including credit card information. In fact, we cares for privacy of what you type and who you type!!”(我们不会收集您的个人信息,包括信用卡信息。事实上,我们关心你输入内容的隐私和你打字的人的隐私!)

伙呆!Go输入法竟然背着你做了这些事!-爱尖刀

它的隐私策略与此相矛盾

它与数十家第三方广告商有合作。它会下载14MB左右的数据,并在用户安装后,发送大量用户的个人信息

它可以访问敏感数据,包括你的身份信息,电话记录,联系人,麦克风

不幸的是,上面列出的一切都是现在的标准。最近的研究显示,10个移动应用程序中会有7个与第三方服务共享你的数据。然而,Go输入法的开发人员越过了红线,直接违反了谷歌商店的内容策略——恶意行为部分。

红线

Apps that steal a user’s authentication information (such as usernames or passwords) or that mimic other apps or websites to trick users into disclosing personal or authentication information.(窃取用户身份验证信息(如用户名或密码)或模仿其他应用程序或网站,以诱使用户披露个人或身份验证信息的应用程序。)

未经用户授权,Go输入法私自将用户的个人信息及设备信息,除设备语言,IMSI,位置,网络类型,屏幕尺寸,Android版本,设备类型等信息外,它还会将用户Google账户邮件账号发送到远程服务器。

伙呆!Go输入法竟然背着你做了这些事!-爱尖刀

Apps or SDKs that download executable code, such as dex files or native code, from a source other than Google Play.(从Google商店以外的其他来源下载可执行代码(例如dex文件或本地代码)的应用程序或SDK。)

安装后,这两款Go输入法都会从远程服务器下载并执行代码,这种行为直接违反了上述策略。一些下载插件也被反病毒引擎标记为Adware或者PUP。

伙呆!Go输入法竟然背着你做了这些事!-爱尖刀

重要的是,应该考虑到授予应用程序广泛权限的后果,远程代码执行会带来严重的安全和隐私风险。在任何时候,服务器所有者可能会改变应用程序的行为,这个时候就不仅仅是窃取你的电子邮件地址,而是想做什么就做什么了。记住,这是一个输入法,你输入的每一个重要信息都经过它!

目前,Adguard已经向谷歌上报了Go输入法的违规行为,并等待回复。拥有2亿用户并不能成为程序值得信赖的标准,也不要盲目相信手机应用程序,在安装之前应充分检查他们的隐私策略和请求的权限。

样本可通过Janus搜索以下包名进行进一步分析:

com.jb.emoji.gokeyboard

com.jb.gokeyboard

原文链接:http://bobao.360.cn/news/detail/4339.html


[广告]赞助链接:


舆情监测,互联网舆情首选查舆情:http://www.chayuqing.com/

关注区块链技术落地与应用,碳链:http://www.itanlian.com/

四季很好,只要有你,文娱排行榜:http://www.yaopaiming.com/

*文章为作者独立观点,不代表 爱尖刀 立场
本文由 HackerEye 授权 爱尖刀 发表,并经 爱尖刀 编辑。转载此文章须经作者同意,并请附上出处( 爱尖刀 )及本页链接。原文链接 http://www.ijiandao.com/safe/it/71046.html
相关文章
腾讯云安全报告「二」:SSH 暴力破解正从云平台向物联网设备迁移
腾讯云安全报告「二」:SSH 暴力破解正…
SSH 暴力破解趋势:从云平台向物联网设备迁移 | 云鼎实验室出品
SSH 暴力破解趋势:从云平台向物联网设…
年运行两万亿条大数据 助力蓝天保卫战
年运行两万亿条大数据 助力蓝天保卫战
Accenture公司的Tammy Moskites探讨CISO职位变化
Accenture公司的Tammy Moskites探讨CISO…
企业电子邮件欺诈越来越接近高级持续威胁
企业电子邮件欺诈越来越接近高级持续威胁
企业没有从过往网络安全事件中吸取教训
企业没有从过往网络安全事件中吸取教训
HackerEye
HackerEye 投稿者
我还没有学会写个人说明!
  • 文章

    705

  • 评论

    0

关注网络尖刀微信公众号
随时掌握互联网精彩

广告赞助