標題: NetAgent公開百度日語輸入法調查報告 [打印本頁]

NetAgent於2013年12月26日公佈了日文輸入軟體的「雲輸入功能」相關調查結果,稱百度日本公司提供的「Baidu IME」和「Simeji」可能會未經用戶許可擅自向外部發送輸入內容。Baidu IME是Windows系統用日文免費輸入軟體,Simeji是Android用免費日文輸入軟體。

Baidu IME的「設置」界面。檢查是否「啟動雲輸入功能」.jpg
Baidu IME的「設置」界面。檢查是否「啟動雲輸入功能」(圖片來源:日經技術在線)


「雲輸入」是向外部伺服器發送通過個人電腦和智慧手機等輸入的字符串、參照伺服器中的辭典提供轉換候選的功能,也叫做雲轉換和雲推測等。其優點是可以提高轉換精度,可對從眾多用戶那裏獲得的資訊進行分析並更新辭典,從而儘快提供新詞句。通常可以選擇啟用或禁用這項功能。

NetAgent通過自家軟體分析了Baidu IME和Simeji的通信內容。NetAgent社長杉浦隆幸表示,即使將雲輸入功能設置為禁用,「已經確定的字符串也會被發送到伺服器」。該公司公開的資訊顯示,Baidu IME會發送已經確定的字符串、Windows中的「安全標示符(SID)」以及正在使用的應用的路徑名稱等。Simeji則會發送終端名稱、被稱作「UUID」的固有標示符以及應用名稱等。只在輸入全形字符時資訊才會被發送出去,輸入半形字符時不會發送。

對於此事,百度日本公司於12月26日表示,如果禁用日誌資訊發送和雲輸入功能,則「應用日誌」(工作情況)和輸入內容就不會被發送出去;即使啟動這兩項功能,應用日誌也會在一段時間後銷毀,輸入內容不會被保存下來。不過,Simeji在2013年3月公開的版本出現了即使關閉日誌發送功能也會發送部分數據的問題,百度日本已于12月26日發佈了解決該問題的套裝程式。

Baidu IME和Simeji的雲輸入功能在默認設置中是開啟的。如果用戶沒有注意到設置,就會經常向外部發送輸入內容。以前就有人指出,此類日文輸入軟體的雲相關功能在默認設置下存在危險性。

左側是啟動Simeji時的畫面。在默認設置下「日誌資訊發送」功能是無效的。右側是Simeji.jpg
左側是啟動Simeji時的畫面。在默認設置下「日誌資訊發送」功能是無效的。右側是Simeji的設置頁面。在默認設置下「雲轉換」功能為有效(圖片來源:日經技術在線)


Internet Initiative Japan(IIJ)于12月17日對日文輸入軟體的這種設置發佈了警示公告。12月19日,日本內閣官房資訊安全中心(NISC)也向政府機構發出了警告。NISC表示,「雖然公開性文件無妨,但對於機密文件,要確認日文輸入軟體的雲轉換功能是否禁用,如果無法禁用則不要使用此類軟體」。文部科學省也在12月20日向約120所大學和研究機構表達了對安全問題的擔憂。不過,NISC和文部科學省表示,此次警告「並沒有呼籲相關機構停止使用某款特定軟體」。

在個人電腦中預裝Baidu IME的廠商有聯想日本。該公司表示,「面向普通消費者的產品預裝了Baidu IME,但主要面向法人銷售的ThinkPad則沒有。詳情正在確認之中」。

其實,也有其他的日文輸入軟體配備雲輸入功能的。比如,JustSystems開發的日文輸入軟體「ATOK」在12月3日開始面向包月服務「ATOK Passport」等的用戶提供「ATOK雲推測轉換服務」。

JustSystems在安裝和更新軟體時,會向用戶確認是否使用該服務,只有在用戶確認使用時才會向伺服器發送輸入內容。不過,該公司表示,「伺服器中只保存用來識別用戶是否有使用許可權的資訊,不會獲得涉及特定個人身份的資訊。字符串只發送正在輸入的讀音,不發送已經轉換過的文字」。



相關新聞:NetAgent調查報告

日本安全企業NetAgent於2013年12月26日發佈的一份調查報告稱,百度日本公司提供的個人電腦用日文輸入軟體「Baidu IME」與安卓用日文輸入軟體「Simeji」在初始設置狀態下會向百度的伺服器發送用戶輸入的文字。

NetAgent在官方部落格發文稱,已證實Baidu IME和Simeji均可通過SSL對已轉換的全形字符加密,然後發送給伺服器。密碼等使用的半形字母數字等未經轉換的字符不在發送對象之列。即便關閉在雲上進行轉換處理的功能、禁用日誌資訊發送功能,這些軟體仍會發送字符串。

除此之外,NetAgent還發現這些軟體會向伺服器發送與輸入法功能關聯性較弱的內部資訊。Baidu IME會發送使用IME文字輸入功能的應用的路徑名稱,以及可以識別Windows登錄用戶的安全標示符(SID)。而Simeji會發送用來識別終端的UUID、安卓終端的機型名稱,以及使用文字輸入功能的應用的套裝程式名稱。



相關新聞:百度對報告的回應

關於百度的日文輸入軟體「Baidu IME」和「Simeji」出現了在初始設置狀態下向伺服器發送輸入文字的問題,百度日本公司發佈了公告。該公司稱,對Simeji進行調查後發現,2013年3月發佈的5.6及以後的版本均存在日誌(Log)發送功能關閉的情況下仍會發送日誌的BUG。該公司已于12月26日發佈了改進之後的套裝程式。

關於Baidu IME會向百度的伺服器發送包含文字輸入資訊在內的日誌資訊一事,百度日本表示,「事先獲得了用戶的允許,並沒有在未經用戶允許的情況下獲取日誌資訊」。據該公司介紹,如果日誌發送功能關閉、雲轉換功能關閉,就不會發送文字資訊。

百度的使用說明稱,發送至伺服器的日誌資訊包括「用戶使用的服務、瀏覽的網頁履歷、搜索的關鍵字、使用時間段、使用方法、使用環境、IP位址、Cookie資訊以及便攜終端的個體識別資訊等」,並未寫明會發送在輸入法中輸入的文字。

日經技術在線