iOS 8 一出,今天各路国内输入法开发商的「7 年之痒」终于解禁,一股脑的推出 iOS 版输入法抢占这块新矿区。微博上扫了一眼,用户们也是热情高涨,曾经的「越狱遮羞布」变成了人人标配的小手帕。但在这繁荣背后的隐患却鲜有人提及,我今天就以搜狗输入法聊聊 iOS 输入法开放后的隐私问题。
搜狗输入法 for iOS
下面的例子中使用的是 iOS 8 搜狗输入法 1.0.0 版。首先,输入法的智能联想带有本地储存,输入前半段可自动补全曾经输入过的长句。熟悉桌面版输入法的朋友应该已经很熟悉了。
曾经输入过的内容被迅速补全了
但这个本地记忆功能易被有心人利用,例子见下图:
凶手只需输入“我密码是”,便可借输入补全套出其余私密信息
看到这里你也许会说,能拿到你的手机就已经是你个人的问题了,不怪输入法开发商……叫你不设锁屏密码。先不聊「日防夜防,家贼难防」的人生哲理,我们继续谈谈你的这些隐私信息的流向。
这是搜狗输入法「功能开启帮助」的截图:
在「功能开启帮助」中指导用户为搜狗开放更高的系统权限
但官方对「输入法完全访问权限」如何解释呢?进入系统的输入法设置页可看到如下详尽的提醒(要点已用彩色笔划出):
iOS 系统中对第三方输入法高级权限的解释页面
上图中我划出了4点:
- 数据上传权限:启用「完全访问」后,将会允许输入法记录的本地数据(包括你的曾经输入过的信息)上传到开发者的服务器。
- App 数据互通权限:启用「完全访问」后,针对你所使用的输入法进行优化的 App 还可以将非键盘操作(如地理位置、照片等)提供给输入法后台进行记录并上传到输入法开发者服务器。
- 一旦启用过「完全访问」,输入法就可能在本地记录输入信息,等到权限重新开启后一并上传开发者服务器。
- 在不启用「完全访问」的前提下,开发者不能搜集(输入法补全的本地记录我不清楚与这条是否违背)与传输用户的输入信息。
所以呢?结合上面已经聊到的,一旦你在懵懵懂懂之间开启了「完全访问」权限,你的输入历史便允许上传到搜狗的服务器,成为可被不知名的特定开发人员研究、分析的对象。试想,您的账户、密码、电话、地址、隐私,事实上都暴露在了开发者面前。而维系这一切的最后一根稻草,只是开发者一句「我们不会做恶」的口头承诺。
是的,我明白,电脑上的输入法其实早就在拿用户数据了,用户已经被践踏遍了,无所谓。但不一样的是,这次的选择权握在你手里:
要忍住!
最后,别忘了向安全先烈们致敬与默哀。
破云烈女,弓声长鸣
【全文完】
