我在2021年5月就写过一篇关于《中国VPN/翻墙者需要警惕,史上最大数据泄露风险的软件》,今天再次被证实,而且是从纯技术角度。主要发现的问题如下,内容来源:citizenlab
此文从技术角度详细分析和演示了搜狗输入法的泄密过程。
分析报告详细阅读:Vulnerabilities in Sogou Keyboard encryption expose keypresses to network eavesdropping
主要发现
- 我们分析了腾讯的搜狗输入法,该输入法的月活跃用户超过 4.5 亿,是中国最受欢迎的中文输入法。
- 在分析该软件的 Windows、Android 和 iOS 版本后,我们发现搜狗输入法定制设计的“EncryptWall”加密系统及其对敏感数据的加密方式存有漏洞,这种情况令人担忧。
- 我们发现,包含用户按键等敏感数据的网络传输可能被网络窃听者破译,从而泄露用户在敲击键盘时所输入的内容。
- 我们向搜狗开发人员披露了这些漏洞,于是他们在 2023 年 7 月 20 日发布了相关软件的修复版本(Windows 13.7 版、Android 11.26 版和 iOS 11.25 版)。
- 这些发现突显了中国的软件开发人员使用 TLS 等受到良好支持的加密实现方式,而不要试图自行定制设计加密实现方式的重要性。
相关内容:
666