使用第三方 iOS 输入法前你应该知道什么？

iOS 8 一出，今天各路国内输入法开发商的「7 年之痒」终于解禁，一股脑的推出 iOS 版输入法抢占这块新矿区。微博上扫了一眼，用户们也是热情高涨，曾经的「越狱遮羞布」变成了人人标配的小手帕。但在这繁荣背后的隐患却鲜有人提及，我今天就以搜狗输入法聊聊 iOS 输入法开放后的隐私问题。

搜狗输入法 for iOS

下面的例子中使用的是 iOS 8 搜狗输入法 1.0.0 版。首先，输入法的智能联想带有本地储存，输入前半段可自动补全曾经输入过的长句。熟悉桌面版输入法的朋友应该已经很熟悉了。

曾经输入过的内容被迅速补全了

但这个本地记忆功能易被有心人利用，例子见下图：

凶手只需输入“我密码是”，便可借输入补全套出其余私密信息

看到这里你也许会说，能拿到你的手机就已经是你个人的问题了，不怪输入法开发商……叫你不设锁屏密码。先不聊「日防夜防，家贼难防」的人生哲理，我们继续谈谈你的这些隐私信息的流向。

这是搜狗输入法「功能开启帮助」的截图：

在「功能开启帮助」中指导用户为搜狗开放更高的系统权限

但官方对「输入法完全访问权限」如何解释呢？进入系统的输入法设置页可看到如下详尽的提醒（要点已用彩色笔划出）：

iOS 系统中对第三方输入法高级权限的解释页面

上图中我划出了4点：

1. 数据上传权限：启用「完全访问」后，将会允许输入法记录的本地数据（包括你的曾经输入过的信息）上传到开发者的服务器。
2. App 数据互通权限：启用「完全访问」后，针对你所使用的输入法进行优化的 App 还可以将非键盘操作（如地理位置、照片等）提供给输入法后台进行记录并上传到输入法开发者服务器。
3. 一旦启用过「完全访问」，输入法就可能在本地记录输入信息，等到权限重新开启后一并上传开发者服务器。
4. 在不启用「完全访问」的前提下，开发者不能搜集（输入法补全的本地记录我不清楚与这条是否违背）与传输用户的输入信息。

所以呢？结合上面已经聊到的，一旦你在懵懵懂懂之间开启了「完全访问」权限，你的输入历史便允许上传到搜狗的服务器，成为可被不知名的特定开发人员研究、分析的对象。试想，您的账户、密码、电话、地址、隐私，事实上都暴露在了开发者面前。而维系这一切的最后一根稻草，只是开发者一句「我们不会做恶」的口头承诺。

是的，我明白，电脑上的输入法其实早就在拿用户数据了，用户已经被践踏遍了，无所谓。但不一样的是，这次的选择权握在你手里：

要忍住！

最后，别忘了向安全先烈们致敬与默哀。

破云烈女，弓声长鸣

【全文完】