https://www.bilibili.com/video/BV1KK4y1B7Nr
很多輸入法會在你打字的同時,將關鍵字共享給其他app
不過共享給其他sdk不是問題
因為在用之前已經同意了那份連看都不看一眼的隱私條款
重點是把輸入法逆向回去後發現
他是用http明文傳送輸入的文字
手機內建預設輸入法是 三星鍵盤5.6.10.40
它會直接用POST的方式把輸入的明文傳送到開發商的一個網址中
把官網上提供的輸入法也拿去逆向之後
發現官網上的是使用https傳輸,但是手機預設卻是http
推測大概是監管機構一般只會檢查官網下載的安裝包而已
逆向中還發現正式發佈的安裝包裡面竟然還有測試用的code
裡面有八段寫死的網址,裡面的ip應該就是他們公司的內網ip