加拿大多倫多大學公民實驗室的研究人員分析了騰訊旗下的搜狗輸入法。該輸入法月活用戶逾 4.5 億,是中國最流行的中文輸入法,占據了七成市場份額,訊飛排名第二,百度輸入法第三。研究人員分析了搜狗輸入法的 Windows、Android 和 iOS 版本,發現搜狗使用了一個自己開發的加密系統 EncryptWall 加密敏感數據,而該加密系統存在 CBC 密文填塞(Padding Oracle)漏洞,允許網絡監聽者獲得加密網絡傳輸的明文,包括用戶輸入的內容。研究人員向搜狗報告了漏洞,搜狗開發者釋出了新版本修復了漏洞。該輸入法的用戶需要盡快升級到新版本——Windows v13.7、Android v11.26 和 iOS v11.25。
騰訊搜狗輸入法存在加密漏洞容易暴露輸入內容
2023-08-10 14:34:06
加拿大多倫多大學公民實驗室的研究人員分析了騰訊旗下的搜狗輸入法。該輸入法月活用戶逾 4.5 億,是中國最流行的中文輸入法,占據了七成市場份額,訊飛排名第二,百度輸入法第三。研究人員分析了搜狗輸入法的 Windows、Android 和 iOS 版本,發現搜狗使用了一個自己開發的加密系統 EncryptWall 加密敏感數據,而該加密系統存在 CBC 密文填塞(Padding Oracle)漏洞,允許網絡監聽者獲得加密網絡傳輸的明文,包括用戶輸入的內容。研究人員向搜狗報告了漏洞,搜狗開發者釋出了新版本修復了漏洞。該輸入法的用戶需要盡快升級到新版本——Windows v13.7、Android v11.26 和 iOS v11.25。
