搜狗输入法曝加密系统漏洞(已修复),黑客可窃取用户输入的内容

安全
研究人员发现漏洞的软件版本涉及三大主流系统,分别是Windows 13.4版本、Android 11.20版本和 iOS 11.21版本。

近期,来自加拿大多伦多大学公民实验室的研究人员在国内热门输入法——搜狗输入法的加密系统中发现了漏洞,能允许网络监听者破译用户的输入内容。目前该漏洞已得到修复。

研究人员发现漏洞的软件版本涉及三大主流系统,分别是Windows 13.4版本、Android 11.20版本和 iOS 11.21版本,其内部定制的EncryptWall加密系统在Windows和Android系统中存在CBC 密文填塞(padding oracle)攻击漏洞,能让网络监听者恢复加密网络传输的明文,从而泄露敏感信息。在iOS中虽然发现了漏洞,但并不清楚具体的利用方式。

恢复的数据示例摘录,第 11 行包含键入的文本

EncryptWall加密系统旨在通过纯 HTTP POST 请求中的加密字段,将敏感流量安全地传输到未加密的搜狗 HTTP API 端点。在通过 HTTPS 发出 EncryptWall 请求的情况下,研究人员认为这些请求是安全的,但EncryptWall 请求的底层加密技术中可能存在任何缺陷。

研究人员发现,CBC 密文填塞攻击是一种早在2002年就曾出现的选择密文攻击,信息的明文可以一个字节一个字节地恢复,每个字节最多使用 256 条信息。这种攻击依赖于一种称为填充预言的侧通道的存在,它可以明确地揭示接收到的密文在解密时是否被正确填充。

研究人员于今年5月31日向搜狗报告了次漏洞,最终修复版本于7月20日正式发布(Windows 13.7版本 、Android 11.26版本  和 iOS11.25 版本 ),强烈建议搜狗输入法的用户立刻升级至上述版本。

根据研究人员的报告,搜狗输入法是最受欢迎的中文输入法,占中文输入法用户的70%,每月活跃用户超过4.55 亿。

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2023-08-14 07:36:58

搜狗拼音加密

2015-08-06 15:32:40

2013-06-06 18:05:58

搜狗输入法隐私泄露robots协议

2024-08-05 10:41:35

2012-02-15 11:14:21

搜狗输入法

2015-06-18 10:19:11

2022-05-24 14:17:36

黑客漏洞网络攻击

2013-09-18 10:44:01

搜狗输入法词语

2010-03-25 13:19:17

云计算

2013-06-07 15:06:26

搜狗输入法泄露用户隐私必应

2013-09-16 13:05:47

搜狗手机输入法

2015-09-08 10:15:16

2024-09-14 14:46:55

2015-04-14 11:01:23

搜狗手机输入法

2018-10-10 14:00:51

搜索

2020-03-09 08:54:01

搜狗百度输入法

2011-05-31 15:36:34

TCL搜狗手机输入法

2012-11-21 17:14:06

2021-08-04 16:36:00

Windows 10Windows微软

2011-05-26 12:25:18

点赞
收藏

51CTO技术栈公众号