大意了！“竊取”聊天記錄真兇竟是手機輸入法，這四招防隱私泄露

林康k 2021-01-28

展開全文

“偷看聊天記錄這事兒，不是我干的！”

上周的「微信公開課PRO」上，張小龍演講中提到，微信經常收到「出賣用戶聊天記錄」的投訴——“微信你是不是暴露我們的聊天記錄了，為什么你還是會在微信里面說過什么，等會就收到廣告呢…”。

不過，張小龍對此予以了否認，然后說道：“并不是只有微信在處理你的信息… 基于這個出發(fā)點我們決定自己做一個輸入法，來保護用戶的隱私。”

嘖嘖… 這個“言外之意”很明顯了，出賣我聊天記錄的就是輸入法了唄！

先甭管張小龍說“微信沒出賣用戶聊天記錄”是真是假，他敢在公開場合“甩鍋”輸入法，看來輸入法也難逃“偷窺”用戶信息之嫌。

實際上，網上關于“輸入法竊取用戶隱私”的討論并不少，無論是普通用戶還是相關的從業(yè)人員，或多或少都有顧慮和擔心，自己的私人信息會被輸入法竊取。

輸入法真的是竊取用戶隱私的“罪魁禍首”？如果是，又該如何避免呢？

實錘了！就是輸入法干的！

先來看看網友的“吐槽”。

“剛聊完，就被推薦”，這恐怕是用戶最一致的感受了。

極果君也一樣，經常在微信聊著要買某個東西，下午休息（劃水）時打開購物App，就看到首頁推薦就是剛剛聊的東西，不得不說，真的是很貼心很溫暖了（生怕我忘了要買啥）！

真的是輸入法在“送溫暖”嗎？極果君決定一探究竟…

于是，極果君用某安卓手機（此前從未安裝過第三方輸入法）下載了當前用戶最多的4款第三方輸入法，分別是搜狗輸入法、百度輸入法、QQ輸入法，以及訊飛輸入法。

一打開，一個“大號的提醒“便映入眼簾——“**輸入法可能會收集您輸入的所有文字，包括密碼和信用卡號碼等個人數據”。

這下，極果君對輸入法的“懷疑”程度也就更深了一點；接著，極果君打開四款輸入法的「用戶隱私協議」從頭到尾細致看了一遍，發(fā)現貓膩不少。

這四款輸入法，其「用戶隱私協議」都包含了“如何收集和使用您的個人信息”這一條，內容也比較全，包括了輸入法會收集用戶的詳細信息類目（別著急，極果君會在后面詳細說）。

以搜狗輸入法為例，當你使用「云輸入及聯想」功能時，它就會收集你輸入過“部分拼音串或文本內容”。大白話說就是，你輸入所有文字包括拼音，他都會收集起來，然后來分析和預測你接下來可能需要輸入的內容，好給你“智能化”地推薦。

這… 妥妥的實錘了？

還有更“狠”的…

當你用到搜狗輸入法「智能回復」功能時，它還會讀取你在聊天場景中的前文內容，然后“智能化”地推薦回復內容，來提高聊天效率。

怎么說？就是搜狗輸入法會讀取你的聊天記錄！看來張小龍的“言外之意”沒錯了…

可是，也許有用戶會說，它雖然看了聊天記錄，但不一定會和“推薦商品”有關系啊？

別急，往下看。

這四款輸入法的「用戶隱私協議」中，無一例外地都包括了“個性化推送及廣告展示”。

也就是說，輸入法會根據用戶的使用記錄，包括瀏覽記錄、搜索記錄，以及用戶的私人信息，來向用戶推廣告；不難想象，這些信息也包括了通過搜狗輸入法「智能回復」功能（其他輸入法也有類似功能）收集的聊天記錄。

如此一來，也就不奇怪，為啥我們剛在微信中聊完“買半身裙還是連衣裙”后，購物App首頁中的“猜你喜歡”就充滿了各式各樣的裙子…

從設備到位置、到聊天記錄，輸入法收集得一樣不落…

那么，這些輸入法到底會“光明正大”地收集用戶哪些信息？

極果君把這四款「用戶隱私協議」梳理了一遍，可以分成三類：

1. 詳細設備信息

手機等設備型號，包括設備識別碼（安卓ID、iOS廣告標識符（IDFA）、IMEI、IMSI、Mac地址）、以及系統(tǒng)版本等等，收集這些信息，輸入法們都美其名曰是——“是為了幫助其bug分析，來保障用戶正常使用”。

看到這一條，極果君才明白，為啥經常聊完買手機殼，然后購物App就精準地推薦了我的手機型號，都不用擔心搜索時不小心輸錯型號（因為不用輸入

）；

需要注意的是，如果用戶不同意輸入法獲取設備信息，也就使用不了該輸入法；其實，這一強制性的“霸王條款”在其他App中同樣如此。

2. 用戶輸入內容

除了上文提到的聊天記錄，還有通訊錄、短信、剪貼板、語音信息、使用記錄等信息，也在輸入法的收集之列。

不難理解，輸入法收集這些內容，都是為了讓用戶更快速的輸入內容。比如，輸入法會讀取用戶通訊錄之后，當用戶在在給好友發(fā)送某個聯系人時，輸入法會識別到并自動彈出該聯系人。

事實上，這些幾乎都是用戶的個人隱私信息了。

3. 設備相關權限

這一點，與其他App無異，位置、攝像頭、麥克風、存儲、短信、相冊、應用程序列表等權限作為用戶的個人信息，輸入法也“照收不誤”，當然也是為了更精準地為用戶提供候選詞。

反之，如果用戶不同意，也就使用不了相應的功能，直白點說，輸入也就沒那么方便了。

看到這里，也許你會和極果君一樣產生疑問，就一個輸入法而已，它收集那么多個人信息，到底要干啥？

其實很簡單，從設備到位置、到聊天記錄，輸入法收集信息一樣不落，就是為了建立專屬于你的“個人云詞庫”，實現“所想即所得” —— 你一“開口”，它就知道你要“說”什么。

讓用戶輸入更準確、更智能、更方便、更快捷，是輸入法收集用戶信息的目的。甚至，輸入法們還隨之推出了“用戶體驗計劃”，收集并記錄用戶使用輸入法各項功能的詳細情況，來進行數據分析，提升用戶體驗。

可是，除了提升用戶體驗，它就不會“別有用途”嗎？

不想泄露隱私？有4招可以“避坑”！

在極果君測試的四款輸入法中，它們的「用戶隱私協議」都提到了“不會識別具體文本內容”，看似沒有風險，但潛在的“用戶隱私泄露”卻早有先例。

2016年5月，科技博主/網絡安全專家@蒸米spark就針對“搜狗與百度輸入法泄露用戶隱私”這一問題做了研究，并發(fā)布文章《有些事你不記得了，輸入法還幫你記得》來詳細說了自己的“經歷”。

根據@蒸米spark在文章中的測試結論，聯網狀態(tài)下，搜狗和百度輸入法不但會上傳用戶的輸入內容到服務器，而且全部使用明文傳輸，嚴重泄露用戶隱私。這就意味著，你輸入的任何內容，黑客都可以輕松看到，包括你的信用卡賬號等私密信息。

讓人不寒而栗… 要不是極果君看到這篇4年多以前的文章，極果君還天真地以為輸入法收集用戶信息最多也只是推送廣告而已呢…

因此，極果君羅列了避免輸入法“泄露隱私”的4個“絕招”分享給你。

盡量使用手機自帶的輸入法，比如iPhone自帶的“鍵盤”功能，雖然比起第三方輸入法，它過于簡陋，甚至極不方便；但從第三方輸入法潛在的“隱私泄露”風險來看，還是自帶的更為穩(wěn)妥；
使用的安卓手機沒有自研的輸入法的情況下（絕大多數廠商的輸入法都是基于第三方輸入法合作），可以考慮使用更為靠譜的第三方輸入法；從用戶評價來看，Google旗下的Gboard相對更安全，無需聯網上傳數據（也連不了網）；
若不得不使用第三方輸入法，可以關閉“云詞庫”等會上傳用戶數據的功能、禁止其訪問通訊錄等授權（系統(tǒng)設置和輸入法中都有詳細的設置項）、不參加“用戶體驗計劃”等；或者，直接禁止輸入法App聯網、事半功倍；
如果你還是離不開第三方輸入法的“云詞庫”、“云端聯想”、“智能回復”等方便快捷的功能，那就只能定期清理你的使用記錄了，當然，對于信用卡號、密碼等私密信息，還是得格外注意。