加拿大多倫多大學公民實驗室的研究人員分析了騰訊旗下的搜狗輸入法。該輸入法月活躍用戶超過 4.5 億,是中國最受歡迎的中文輸入法。

研究人員分析了搜狗輸入法的 Windows、Android 和 iOS 版本,發現搜狗使用了一個自己開發的加密系統 EncryptWall 加密敏感數據,而該加密系統存在 CBC 密文填塞 (Padding Oracle) 漏洞,允許網絡監聽者恢復加密網絡傳輸的明文,包括用戶輸入內容在內的敏感信息。

下面是對加密內容恢復后的示例:

到 7 月 20 日,輸入法團隊發布搜狗輸入法新版本算是徹底解決了問題,其中 Windows 版為 13.7 版,Android 版為 11.26 版,iOS 版為 11.25 版。

建議使用搜狗輸入法的用戶升級搜狗輸入法最新版以修復漏洞,當然如果可以的話,最好直接禁用搜狗輸入法的聯網功能,禁用后會導致云輸入功能失效,但安全性可以大幅度提升。

研究人員表示,他們發現漏洞后首先報告給了騰訊,盡管中間了經歷一些波折,問題最后還是得以解決。

漏洞細節也已公開:https://citizenlab.ca/2023/08/vulnerabilities-in-sogou-keyboard-encryption/

搜狗 漏洞
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接