搜狗拼音输入法加密漏洞暴露用户输入

安全 漏洞
研究人员称修复方式非常简单,只需要使用TLS这类加密实现即可。搜狗已于2023年7月20日修复了该漏洞,建议Windows、安卓和iOS用户更新到Windows 13.7、安卓11.26和iOS 11.25及以上版本。

搜狗拼音输入法加密系统爆安全漏洞可暴露用户输入。

搜狗输入法是国内排名第一的输入法,有超过4.55亿月活用户,支持Windows、安卓、iOS、Linux等系统。

搜狗拼音输入法加密漏洞暴露用户输入搜狗拼音输入法加密漏洞暴露用户输入

加拿大多伦多大学Citizen Lab研究人员发现搜狗输入法使用的加密算法存在漏洞,恶意攻击者可解密用户的输入信息。漏洞影响Windows、安卓和iOS平台。

漏洞产生的根源是搜狗定制的加密系统——EncryptWall。该系统是敏感流量到未加密的搜狗HTTP API终端的安全通道,通过明文HTTP POST请求中的加密字段来实现。研究人员分析发现EncryptWall系统易受到CBC Padding oracle攻击,这是一种选择密文攻击,影响使用CBC模式和PKCS#7 填充的分组加密。网络监听者利用该攻击可以在不知道加密密钥的情况下恢复加密的网络传输的明文,恢复包括用户输入在内的敏感信息明文。

图 恢复的明文输入示例图 恢复的明文输入示例


该漏洞并不仅仅影响国内用户,根据SimilarWeb网站的统计数据,shurufa.sogou[.]com的访问用户除中国大陆外,还包括中国台湾、中国香港、美国、日本等地区。

研究人员称修复方式非常简单,只需要使用TLS这类加密实现即可。搜狗已于2023年7月20日修复了该漏洞,建议Windows、安卓和iOS用户更新到Windows 13.7、安卓11.26和iOS 11.25及以上版本。

完整技术分析参见:https://citizenlab.ca/2023/08/vulnerabilities-in-sogou-keyboard-encryption/

本文翻译自:https://thehackernews.com/2023/08/encryption-flaws-in-popular-chinese.html如若转载,请注明原文地址

责任编辑:武晓燕 来源: 嘶吼网
相关推荐

2009-09-01 08:57:21

SCIM谷歌拼音输入法

2009-11-17 09:26:39

腾讯搜狗输入法

2009-08-13 10:42:15

基于Android平台

2011-09-22 14:39:17

API

2009-03-09 19:48:17

LinuxSunPinyin拼音输入法

2011-08-30 11:21:59

UbuntuGoogle

2010-12-22 15:32:24

360软件管家搜狗拼音输入法

2017-01-12 09:25:05

Windows 10新拼音输入法

2022-05-11 14:54:02

输入法框架鸿蒙

2020-10-29 11:10:10

华宇拼音输入法

2009-07-06 09:18:31

搜狗腾讯输入法

2013-06-06 18:05:58

搜狗输入法隐私泄露robots协议

2023-08-11 18:18:15

2012-02-15 11:14:21

搜狗输入法

2013-09-18 10:44:01

搜狗输入法词语

2010-03-25 13:19:17

云计算

2017-10-16 13:30:28

windows 10技巧输入法

2023-04-08 11:03:28

Windows 11微软

2013-06-07 15:06:26

搜狗输入法泄露用户隐私必应

2013-09-16 13:05:47

搜狗手机输入法
点赞
收藏

51CTO技术栈公众号