关于输入法漏洞安全隐患的预警通报
各二级学院:
通过近期工作发现,我国第三方手机输入法用户规模持续扩大,各大厂商基于AI技术创新,带来语音识别、输入预测、图像输入、人脸识别等智能化升级改善产品功能,易引发用户隐私侵权个人信息泄露,甚至国家安全泄密等问题,应引起高度关注。
当前,第三方输入法存在的风险隐患有以下方面:一是第三方输入法存在被植入后门程序的风险,使得外部实体能够远程访问用户设备,收集关键信息。国家计算机病毒应急处理中心监测发现,一种名为chinese simple的后门程序病毒可通过安装输入法向受感染操作系统中嵌入病毒代码,并设置该输入法为首选项从而常驻系统窃取用户个人隐私信息。二是存在云服务器同步信息泄密风险。用户输入信息被同步传输到输入法厂商云服务器端后,若该云服务器被入侵,则存在数据泄密风险。以搜狗输入法为例,当使用云输入及联想功能时,输入的所有文字包括拼音都会被收集起来,然后分析和预测接下来可能需要输入的内容,给出智能化推荐,输入法会根据用户的使用记录,包括浏览记录搜索记录,以及用户的私人信息,来向用户推广告,将这些信息同步到云端。三是存在敏感词汇被监测风险,易导致关键信息泄密,危害国家安全。部分输入法厂商若将输入法设置为记录并上报特定敏感词汇模式,或对军事、能源、交通等重点行业用户输入的涉及国家战略、研发资料等敏感信息造成泄密的风险,导致与其他国家的通信内容、决策意图等被第三方实体截获,危害国家安全。据外媒报道称,第三方输入法软件“Al.type”收集并泄露了超过3100万用户的个人信息,这些信息大多非常敏感,甚至包括多个国家政府工作人员的用户姓名、邮箱和精确位置,可被用于分析用户身份。四是用户个人生物信息存在被具备AI技术的输入法非法收集泄露的风险。生物技术、语音密码、人脸识别等技术可通过获取访问麦克风和相册等权限,将用户五官、瞳孔音色等生理特征泄露给不法分子,易引发盗刷银行卡、破解账号密码、盗号、换脸支付等非法行为,不法分子还可通过后期 AI换脸合成技术,收集人脸和声音数据合成图片或色情视频,在网络中非法传播、实施电信诈骗等活动。如“一甜相机”与搜狗输入法合作推出的“DIY 超甜魔法皮肤”活动,用户将一甜相机中拍摄的照片导入搜狗输入法,即可制作出专属输入法皮肤。
在此,给各单位提出如下建议,一是强化内部人员安全意识,从正规手机软件应用市场等渠道下载获取第三方输入法,谨防被植入后门程序,在输入账号密码时,可切换至手机自带安全键盘替代第三方输入法,防范后门程序恶意收集密码,降低被攻击、窃取的可能性;二是关闭第三方输入法的云相关功能和个性化推送及广告展示,禁用设备、存储、位置、通讯录等非必要权限;三是谨慎选择微软Swift Key等融入AI概念的输入法产品,保护个人生物信息,严防隐私泄露:四是在使用中发现输入法涉及侵犯公民个人隐私的情况,应及时固定相关证据,并向上级部门报告,配合开展调查处置。