Gần đây, tổ chức nghiên cứu quyền riêng tư Citizenlab đã công bố một báo cáo bảo mật, trong đó tiết lộ rằng các ứng dụng phương thức nhập dữ liệu đám mây trên điện thoại di động của một số nhà sản xuất lớn ngoại trừ Huawei có lỗ hổng và tin tặc có thể khai thác những lỗ hổng này để đánh cắp hoàn toàn thông tin đầu vào của người dùng hoặc tiến hành nghe lén mạng.
Với sự phát triển không ngừng của quy mô người dùng, công nghệ back-end của các ứng dụng phương thức nhập liệu trên đám mây ngày càng trở nên phức tạp hơn và mọi người ngày càng chú ý hơn đến các rủi ro bảo mật tiềm ẩn của các ứng dụng như vậy. Các vấn đề mà các nhà nghiên cứu bảo mật quan tâm nhất liên quan đến tính bảo mật của các ứng dụng phương thức nhập liệu trên đám mây bao gồm liệu dữ liệu người dùng có an toàn trên máy chủ đám mây hay không và liệu thông tin đó có an toàn trong quá trình truyền thông tin từ thiết bị người dùng đến máy chủ đám mây hay không.
Bầu CuaV8Sau khi phân tích phương thức nhập của một số nhà sản xuất lớn, các nhà nghiên cứu nhận thấy rằng các ứng dụng phương thức nhập của Huawei không tìm thấy bất kỳ vấn đề bảo mật nào khi truyền bản ghi thao tác gõ phím của người dùng. Mỗi nhà cung cấp lớn còn lại đã phát hiện ra một lỗ hổng trong ít nhất một ứng dụng của mình, có thể cho phép tin tặc đánh cắp hoàn toàn thông tin đầu vào của người dùng. Trong hầu hết các trường hợp, kẻ tấn công chỉ cần là kẻ nghe lén thụ động trên mạng để khai thác những lỗ hổng này. Tuy nhiên, trong một số trường hợp, đối với các ứng dụng sử dụng API Tencent Sogou, kẻ tấn công cũng cần có khả năng gửi lưu lượng mạng đến máy chủ đám mây, nhưng chúng không nhất thiết phải là man-in-the-middle (MitM) hoặc lưu lượng giả mạo từ người dùng ở lớp mạng 3. Trong mọi trường hợp, kẻ tấn công phải có quyền truy cập vào bản sao của phần mềm máy khách. (Lý Cát)