https://www.bilibili.com/video/BV1KK4y1B7Nr
很多輸入法會在你打字的同時,將關鍵字共享給其他app
https://imgur.com/nrjvx9R.jpg
https://imgur.com/BA6MJWr.jpg
https://imgur.com/aNfruqD.jpg
https://imgur.com/1BRQdyW.jpg
不過共享給其他sdk不是問題
因為在用之前已經同意了那份連看都不看一眼的隱私條款
重點是把輸入法逆向回去後發現
他是用http明文傳送輸入的文字
https://imgur.com/ZpNwx3e.jpg
https://imgur.com/ump8vZO.jpg
https://imgur.com/q2zJhfX.jpg
手機內建預設輸入法是 三星鍵盤5.6.10.40
它會直接用POST的方式把輸入的明文傳送到開發商的一個網址中
https://imgur.com/8L6fOqf.jpg
https://imgur.com/mwrebg0.jpg
https://imgur.com/lKKWQ2z.jpg
把官網上提供的輸入法也拿去逆向之後
發現官網上的是使用https傳輸,但是手機預設卻是http
推測大概是監管機構一般只會檢查官網下載的安裝包而已
https://imgur.com/hVNj9mv.jpg
https://imgur.com/8DEISnG.jpg
逆向中還發現正式發佈的安裝包裡面竟然還有測試用的code
裡面有八段寫死的網址,裡面的ip應該就是他們公司的內網ip
https://imgur.com/lfvZZYo.jpg
https://imgur.com/6wdHMGz.jpg
https://imgur.com/3GbOQyc.jpg