两款PC主流浏览器产品可能存在隐私窃取问题
众所周知,无论是在网络聊天、还是在工作中,“打错字”都是一件很常见的事情。面对错字,有的朋友可能对此并不在意,但也会有人难以容忍。
在这种情况下,不管是常见的办公软件、还是各主流输入法,甚至是在每天都会接触的绝大多数智能手机里,厂商普遍都会提供名为“拼写检查”这个功能。也就是当你打错字时,会自动地以显眼的颜色进行标识,甚至是智能地给出正确的拼写建议。
乍看之下,这个功能是不是还挺人性化?
然而根据日前发布的一份安全报告显示,两款主流的浏览器产品、微软Edge与谷歌Chrome所配备的“增强型拼写检查”功能,却可能存在着相当严重的隐私窃取问题。
要说起来,这事其实并不复杂。是一家名为“otto-js”的安全公司声称,他们发现Edge和Chrome浏览器的“增强型拼写检查”功能一旦开启,就会将用户在浏览器里输入的内容自动上传,而数据上传的目的地,自然就是微软或谷歌自己的服务器。
在这个过程中,其实有两件事是引人担忧的。首先是在绝大多数情况下,PC上的浏览器并不会区分用户输入的内容是否敏感。举例而言,当你在网页上撰写博客、聊天时候,浏览器的“拼写检查”当然是有用的,并且此时所写下的文字可能也不会涉及到什么个人隐私,因此即便是被上传,往往也不会造成什么损失。
但如果你在登录公司的管理后台,并(通过浏览器)在网页上输入账号密码呢?请注意,浏览器自己并不会知道你“正在输密码”这回事,它只能知道“你在打字”。于是,增强型拼写检查功能自动启用的情况下,你的账号密码就可能被上传到了微软/谷歌的服务器上,被当做了“查错”的对象。
这家安全公司在报告中演示的,被“窥探”的用户密码输入行为
其次,虽然大家都能想到,这些浏览器之所以要“窥视”用户输入的内容、并将其上传,是为了能够在服务器上进行语义分析,进而给出智能的拼写检查建议。但问题在于,无论微软还是谷歌,都不可能确保不对这些“收集”到的内容进行额外分析。
事实上,考虑到这种在线的拼写检查功能,本就需要先用算法去“理解”用户输入的内容,然后才能给出对错别字的建议。所以从理论上来说,无论在浏览器里输入的是无关紧要的文字、还是十分私密的密码或重要内容,它们都会被上传、然后被算法“充分解析”。当然,无论是于情还是于理来说,这些企业都不敢、也不会滥用这些数据,但用户的隐私遭到了窥探,却也是不争的事实。
“安全键盘”功能在手机上早已是标配,但在PC上却几乎没有
那么问题就来了,一方面,我们有没有办法去实现无需联网,只在本地处理的拼写检查呢?另一方面,能不能让这些功能被设计为自动检查用户的使用环境,比如说只在写博客/聊天时自动启用,在输密码的时候就自动关闭呢?
其实是可以的,而且以上所提及的“本地拼写检查”和“检测到输密码就自动加密保护隐私”功能,技术上也早就已经实现了。只不过它们都不是在PC上,而是普遍被配备在了智能手机中。
为什么智能手机可以做到不联网、不上传数据就实现拼写检查,为什么智能手机就可以在检测到用户输密码时自动加密运行环境,PC却做不到这些呢?原因其实非常简单,因为算力和硬件功能都有所缺失。
智能手机SoC现在普遍都有独立AI和独立加密单元,但PC上可不是这样
是的,智能手机上的本地拼写检查功能,依靠的是SoC里集成的AI加速器来运行AI代码,而检测到用户输密码就自动开启的加密模式,则是因为SoC里有单独的加密运算和存储单元。换句话来说,这两个看似稀松平常的功能,其实都严重依赖于特定的硬件。而这些配置在目前的绝大多数PC上,却是不存在的。
12代酷睿也能做到本地AI加速处理,但它们毕竟还比较“小众”
请注意,我们说的是“绝大多数”、而非“所有”。因为在Intel的11代、12代酷睿,以及AMD的7000系锐龙处理器里,加入了深度学习相关的指令集,从而使得它们也能运行一些复杂的本地AI代码了,理论上也可以实现本地离线拼写检查。
又比如说,在某些高端的商用处理器(比如Intel vPro系列,AMD PRO系列)里,也有集成独立的安全计算单元,理论上能够做到自动识别密码输入场景、自动进行隔离加密运算。
AMD 6000系PRO商用处理器就集成了微软的独立安全单元
但问题在于,以上我们所讲这些新款的、专业的处理器,相对于整个PC市场来说,确实是太小众的一批产品。这就使得尽管目前的新款PC理论上已经可以运行本地AI代码,已经能够提供独立安全加密运行环境,但站在浏览器的角度来说,他们着实不会有去为这“一小撮”新设备单独适配AI功能,以及去适配自动加密机制的动力。
与PC相比,智能手机有着快得多的换代速度,这也使得新技术得以快速普及
当然,这其实也再一次揭示了PC和手机市场的重大差异。毕竟PC整体的硬件更新换代节奏远不如手机,这自然就会拖累新技术、新软件的适配。然而消费者的使用习惯却不会因此而有所“迁就”,于是在用户需求和落后硬件环境的矛盾中,类似联网拼写检查这样、明显存在着问题,但又不得不进行的设计,也就变得合理了起来。
上一篇:比较开放的浏览器有哪些