https://www.bilibili.com/video/BV1KK4y1B7Nr
很多输入法会在你打字的同时,将关键字共享给其他app
不过共享给其他sdk不是问题
因为在用之前已经同意了那份连看都不看一眼的隐私条款
重点是把输入法逆向回去后发现
他是用http明文传送输入的文字
手机内建默认输入法是 三星键盘5.6.10.40
它会直接用POST的方式把输入的明文传送到开发商的一个网址中
把官网上提供的输入法也拿去逆向之后
发现官网上的是使用https传输,但是手机默认却是http
推测大概是监管机构一般只会检查官网下载的安装包而已
逆向中还发现正式发布的安装包里面竟然还有测试用的code
里面有八段写死的网址,里面的ip应该就是他们公司的内网ip