搜狗输入法被曝加密漏洞导致按键被网络窃听

我在2021年5月就写过一篇关于《中国VPN/翻墙者需要警惕，史上最大数据泄露风险的软件》，今天再次被证实，而且是从纯技术角度。主要发现的问题如下，内容来源：citizenlab

此文从技术角度详细分析和演示了搜狗输入法的泄密过程。

分析报告详细阅读：Vulnerabilities in Sogou Keyboard encryption expose keypresses to network eavesdropping

主要发现

• 我们分析了腾讯的搜狗输入法，该输入法的月活跃用户超过 4.5 亿，是中国最受欢迎的中文输入法。
• 在分析该软件的 Windows、Android 和 iOS 版本后，我们发现搜狗输入法定制设计的“EncryptWall”加密系统及其对敏感数据的加密方式存有漏洞，这种情况令人担忧。
• 我们发现，包含用户按键等敏感数据的网络传输可能被网络窃听者破译，从而泄露用户在敲击键盘时所输入的内容。
• 我们向搜狗开发人员披露了这些漏洞，于是他们在 2023 年 7 月 20 日发布了相关软件的修复版本（Windows 13.7 版、Android 11.26 版和 iOS 11.25 版）。
• 这些发现突显了中国的软件开发人员使用 TLS 等受到良好支持的加密实现方式，而不要试图自行定制设计加密实现方式的重要性。

相关内容：

• 中国用户需要警惕，史上最大数据泄露风险的软件
• 微信以保护用户隐私为由 将推出专用输入法
• MIUI 13 整合系统级反电信欺骗功能，把用户当幼儿班的孩子管？
• 牛逼的小米手机全面记录用户隐私数据
• 小米要学IOS做闭环应用系统？阻止安装第三方来源的apk软件
• 小米被NCC检测出Mi 10T 5G手机中7款应用App含审查功能
• 你知道吗 智能门锁已经沦为中国大数据监控工具
• 寻找中国可用且安全的即时通讯和视频通话聊天软件
• 小米 Mix4 发布 隐私输入法模式，是噱头还是真心实意！
• WPS是否会偷窥、检测封禁用户的本地文档？