AdGuard的安全专家发现,Go输入法未经用户同意秘密收集用户数据发送至远程服务器,同时还会从第三方服务器下载“危险的”可执行代码。
“Go输入法”由中国广州公司GOMO Dev Team开发。AdGuard的安全专家发现,这款应用与几十个第三方跟踪器和广告网络通信,还会下载并运行一个大小为14MB的文件,安装后会获取大量用户信息。
AdGuard联合创始人Andrey Meshkov(安德烈·梅什科夫)在博文中写到,Go输入法未经用户同意向服务器报告用户的Google电子邮箱账号、语言、IMSI、位置、网络类型、屏幕大小、安卓版本、设备型号等。Go输入法拥有的权限可支持恶意攻击者远程执行代码,给用户带来严重的安全隐私风险。服务器控制者可能会改动应用的行为,不止是窃取用户的电子邮箱,其还可以执行任何操作。“Go输入法”能收集用户所有输入的重要信息,并加以利用。
AdGuard方面表示已经通知了Google。目前Google Play上有两个版本的Go输入法可供下载。并且这两个版本均会收集用户的敏感数据,包括个人身份、联系人、通话记录和麦克风。