伙呆！Go输入法竟然背着你做了这些事！

简介 你有没有想过你的输入法可能是一个专业的间谍?当然了，我们所说的并不是好莱坞电影中英俊的间谍人物，而是关于持续收集个人信息和个人电话，并将其泄露给第三方的的间谍软件。我们最近就发现了一个这样的间谍软件，它是一款流行的Android输入法软件，开发者利用它持续监控用户，将大量的用户个人信息发送到远程服务器，并使用一种特殊的技术下载危险的可执行代码。 这项研究的目的是调查输入法的流量消耗、不必要的行为和广告演示，以及他们将用户的哪些隐私数据发送到远程服务器及第三方服务商。我们决定首先对TouchPal(触宝)输入法进行测试，它最近会在HTC设备中用户打字的区域显示广告。为什么这个事那么重要？要知道，输入法几乎可以接触你所有高价值的隐私数据，例如你的登录名，密码，邮件内容，发送的短信，假设，这些信息都被发送(甚至是卖)给了第三方，后果非常严重。而Go输入法 绝对是输入法领域的“冠军”，这款由GOMO团队开发的应用，凭借着“智能”的输入法，色彩斑斓、吸引人的主题，在世界各地拥有2亿多的用户。 你应该知道的臭名昭著的Go输入法的那些事儿 它在谷歌商店上架了两个版本(1,2) 它有2亿+的下载量 它宣传自己“We will never collect your personal info including credit card information. In fact, we cares for privacy of what you type and who you type!!”(我们不会收集您的个人信息，包括信用卡信息。事实上，我们关心你输入内容的隐私和你打字的人的隐私！) 它的隐私策略与此相矛盾 它与数十家第三方广告商有合作。它会下载14MB左右的数据，并在用户安装后，发送大量用户的个人信息 它可以访问敏感数据，包括你的身份信息，电话记录，联系人，麦克风 不幸的是，上面列出的一切都是现在的标准。最近的研究显示，10个移动应用程序中会有7个与第三方服务共享你的数据。然而，Go输入法的开发人员越过了红线，直接违反了谷歌商店的内容策略——恶意行为部分。 红线 Apps that steal a user’s authentication information (such as usernames or passwords) or that mimic other apps or websites to trick users into disclosing personal or authentication information.(窃取用户身份验证信息(如用户名或密码)或模仿其他应用程序或网站，以诱使用户披露个人或身份验证信息的应用程序。) 未经用户授权，Go输入法私自将用户的个人信息及设备信息，除设备语言，IMSI，位置，网络类型，屏幕尺寸，Android版本，设备类型等信息外，它还会将用户Google账户邮件账号发送到远程服务器。 Apps or SDKs that download executable code, such as dex files or native code, from a source other than Google Play.(从Google商店以外的其他来源下载可执行代码（例如dex文件或本地代码）的应用程序或SDK。) 安装后，这两款Go输入法都会从远程服务器下载并执行代码，这种行为直接违反了上述策略。一些下载插件也被反病毒引擎标记为Adware或者PUP。 重要的是，应该考虑到授予应用程序广泛权限的后果，远程代码执行会带来严重的安全和隐私风险。在任何时候，服务器所有者可能会改变应用程序的行为，这个时候就不仅仅是窃取你的电子邮件地址，而是想做什么就做什么了。记住，这是一个输入法，你输入的每一个重要信息都经过它！ 目前，Adguard已经向谷歌上报了Go输入法的违规行为，并等待回复。拥有2亿用户并不能成为程序值得信赖的标准，也不要盲目相信手机应用程序，在安装之前应充分检查他们的隐私策略和请求的权限。 样本可通过Janus搜索以下包名进行进一步分析： com.jb.emoji.gokeyboard com.jb.gokeyboard 原文链接：http://bobao.360.cn/news/detail/4339.html

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/