入法作為每個用戶必備的組件,它存在于每部電腦中,并且用戶使用的頻率極高,因此自然成為很多黑客、木馬特別青睞的對象。比如蘋果公司就限制第三方輸入法進駐iOS系統,主要就是因為輸入法極容易有漏洞。那么輸入法有哪些常見的漏洞,我們又應該怎么進防范?
小知識:Windows 2000著名輸入法漏洞
在Windows 2000登錄界面,切換至全拼輸入法狀態,如果此時選擇其中的“幫助”,在新彈出的選項里選擇“輸入法入門→輸入法操作指南→選項”,接著選擇“跳至URL”。此時將出現Windows 2000的系統安裝路徑和要求我們填入的路徑的空白欄,輸入“C:\Windowsnt\system32”即可跳過密碼直接進入系統,這就是著名的Windows 2000輸入法漏洞。
因為輸入法是每個用戶必備的軟件,而且是唯一一個可以在系統登錄界面被調用的第三方組件,因此很多黑客都在盯著輸入法,試圖利用其漏洞入侵我們的系統。雖然自Windows 2000輸入法漏洞發生后,微軟已經在系統進行較為完善的改進。不過除了系統因素外,輸入法本身的漏洞還是會給我們帶來極大的安全隱患。下面我們以“陳橋智能輸入法 6.6版”為例,在Windows 7下演示一下它的漏洞給我們帶來的風險。
日常操作中,很多人在離開電腦一段時間時,經常會將系統鎖定以免他人使用。不過在用戶已經登錄系統后,電腦上安裝了上述版本的陳橋輸入法,那么在鎖定界面仍然可以調用陳橋輸入法。而陳橋輸入法又可以調用其他輸入法組件,比如在輸入法狀態欄右擊選擇“數據管理”,這樣就會調用默認路徑下的“C:\chenghu2\CHENZNWB.EXE”(圖9)。
圖9 右擊狀態欄調用程序漏洞
上述操作在用戶鎖定界面仍然可以實現,正是這個漏洞會給我們系統帶來安全隱患。如果有不懷好意的人將CHENZNWB.EXE替換為其他程序如CMD.exe,這樣他就可以在鎖定界面進入我們的系統了。
假設我們已經將CMD.exe改名為CHENZNWB.EXE并放置在上述目錄,現在在Windows 7鎖定界面隨便輸入幾個字符登錄,在系統提示用戶密碼錯誤時,點擊屏幕左上角輸入法圖標切換到“陳橋輸入法”。繼續輸入任意幾個字符調出輸入法狀態欄,同上右擊選擇“數據管理”,這樣即可在登錄界面調出命令提示符界面。由于此時登錄的是系統內置的SYSTEM賬戶,它擁有極高的操作權限,按提示輸入下列命令即可添加管理員賬戶(圖10):
Net user cfan1 123456 /add
net localgroup administrators cfan /add
這樣我們即可在當前系統下新增一個名為cfan1的系統管理員賬戶,返回登錄界面即可使用這個賬戶進入你的系統了。
圖10 在鎖定界面添加管理員賬戶
扎好籬笆——保護輸入安全
文|俞木發
從前面的文章可以看出,輸入法漏洞會給系統帶來極大的安全問題。除此之外,很多輸入法還爆出其他安全隱患,比如搜狗輸入法漏洞會泄漏用戶隱私信息,QQ輸入法在Windows 8下的提權漏洞,智能ABC輸入法漏洞可以可以終止電腦任意進程等。雖然這些漏洞已經被修復,但是誰都不能保證其他輸入法還會不會有類似的漏洞,為了保護系統和輸入安全,及時解決輸入法漏洞帶來的危害,我們應該采取如下安全措施。
及時升級輸入法
最簡單的方法是用好輸入法的自動升級功能,這樣舊版漏洞可以及時進行修復。比如搜狗輸入法,只要進入設置界面切換到“高級”,然后在“升級選項”下設置為“自動升級”即可(圖11)。
圖11 設置輸入法自動升級
盡量使用知名輸入法
并且不要輕易將第三方輸入法設置為默認輸入法。一些小公司的輸入法軟件不可避免地存在各種漏洞,使用知名公司輸入法可以有效避免各種漏洞的存在。此外不要貪圖使用方便,將第三方輸入法設置為默認輸入法,如果使用系統默認設置,在登錄界面是無法調用第三方輸入法組件的,這樣可以杜絕黑客通過輸入法漏洞入侵我們系統的通道(圖12)。
圖12 選擇默認的系統內置輸入法作為默認語言
關閉不必要的端口
大部分輸入法漏洞的攻擊都是借助3389這個老生常談的端口,因此對于那些平時不用的端口,特別是那些危險性較大,又不常用的高危端口,如Telnet服務的23端口、FTP服務的21端口、SMTP服務的25端口、RPC服務的135端口等,建議將其關閉。
使用專用輸入法
在網銀、淘寶、在線支付輸入密碼時,盡量使用它們自帶的控件和軟鍵盤輸入。因為默認情況下,我們在輸入賬號、密碼時,系統是通過輸入法管理器調用輸入法的轉換函數輸入字符的。
現在很多木馬可以利用鍵盤鉤子捕獲Windows鍵盤動作,從而輕易知道你的賬戶名和密碼。網銀的安全控件則可以對鍵盤鉤子進行有效的隔絕,而且軟鍵盤上字母和數字的排列是不規則的,并且每次都會隨機進行變化,即使木馬捕捉到也是一堆無意義的編碼(圖13)。
圖13 建行網銀使用的軟鍵盤
小知識:網銀是如何保證輸入安全?
1、強制下載安全控件,只有安裝控件后密碼框才能輸入字符,控件能夠有效防止黑客及木馬病毒等竊取用戶輸入信息。
2、使用隨機排列字符實現字符的輸入,即使被木馬捕獲也不會泄漏實際輸入的字符。
3、服務器會實時對客戶輸入的密碼進行增強加密,比如在中國移動網站使用手機登錄時,我們輸入的密碼在提交到服務器驗證的過程會被加密,如輸入123456,提交后密碼框會變為多位的加密字符(圖14)。
圖14 密碼字符在提交過程會被加強加密
歌只是給了芯片制造商一些非常需要的好消息,兩位Google工程師描述了一種新型的芯片級補丁程序,該補丁程序已經部署在整個公司的整個基礎架構中,在大多數情況下性能僅略有下降。該公司還公布了新技術的詳細信息,希望其他公司能夠遵循相同的技術。這意味著英特爾和其他人避免了許多人預測的災難性的減速。
“有人猜測KPTI的部署導致顯著的性能下降,”這篇文章指的是該公司的“內核頁表隔離”技術。“性能可能會有所不同,因為KPTI緩解的影響取決于應用程序所進行的系統調用的速度。在包括我們的云基礎架構在內的大部分工作量中,我們看到對性能的影響可以忽略不計。“
我們看到對績效的影響微乎其微。這個消息對Google云來說特別重要,因為有些人認為云服務對于新的處理器問題是獨一無二的。根據這篇文章,ReptOnline已經部署到系統中,對速度沒有顯著的影響。
“當然,Google建議在部署之前在您的環境中進行徹底的測試,”該帖子繼續說。我們不能保證任何特定的性能或運營影響。“
這一評估與英特爾的早期報告相一致,英特爾曾經表示,放緩將是“高度依賴工作負載,對普通計算機用戶而言不應該是顯著的”。這些說法遭到了懷疑,許多人認為這是一種努力。英特爾淡化新公開漏洞的影響。與此同時,一些早期的基準指標下滑幅度高達17%。
最近,英特爾宣布已經部署了可以使芯片免受新攻擊的補丁,并重申性能影響并不顯著。谷歌和英特爾的聲明很難得到證實,直到補丁部署完畢,但谷歌已經加入芯片制造商報告最低速度降低是非常重要的。
值得注意的是,新技術只適用于新攻擊涉及的三個變種之一。然而,這是可以說是最難解決的變體。另外兩個漏洞將分別在程序和操作系統級別解決,并且不太可能導致電腦性能的下降。
離Windows 10的發布已經有四年之久,在2019年1月份,Windows10的市場份額已經正式超過了Windows7,成為市占率最高的操作系統。據最新的市場研究報告,Windows10的市場份額目前已超過50%,而Windows7的市場份額正在不斷下滑,跌至30.34%。這個數據說明了一點,Windows10已經正式成為市面上最為主流的操作系統,是我們生活、工作中的主力工具。既然如此,Windows10的穩定性就變得格外重要,也許一個BUG,就能影響幾億人的生活。
據知名外媒Gordon Kelly報道,最新版Windows10被曝光有重大BUG,雖然修復了上一版本的黑屏、閃退問題,但是卻新增了一個BUG,具體表現如下:一個名為「微軟小娜」的系統服務在沒有任何活動的情況下,居然消耗了處理器40%的性能,導致耗電激增。如果你用的是臺式電腦,那么這將拖累你電腦運行的速度。如果你用的是筆記本電腦的話,不僅性能下降,而且續航也會銳減將近一半,這對于用筆記本電腦辦公的人來說是個噩耗。
微軟有一個「Windows Insiders 」計劃,類似于手機上的開發版系統,正式版系統發布之前,微軟會先通過該計劃向1000萬名用戶推送最新的系統,進行小規模的測試,以確保新系統能正常運作。令人氣憤的是,內測的時候這個耗電激增的BUG已經被不止一次地反映過,但是微軟忽視了這個反饋。文章開頭我們說過,Windows10的市場份額已經高達50%,哪怕是一個小小的BUG,也能影響幾億PC用戶的正常使用。而且眾所周知,如果不去刻意禁止更新服務的話,Windows10的更新在大多數情況下是無法阻止的。
世界上沒有完美的系統,別說Windows10了,就連蘋果的iOS、iMac,也被發現了非常多的漏洞。就以iOS13來舉例吧,前前后后經過了9個版本的優化,如今才勉強可以日用。有BUG是可以理解的,只要不要影響到正常使用就可以了。但Windows10這次的BUG是直接影響到續航,這對于辦公人群來說是十分致命的。建議正在使用Windows10的筆記本用戶,目前千萬不要升級Windows10最新版!溫馨提示:可以去系統中先關閉Windows10的自動更新,以待后續的優化。