公民实验室：云输入法存在漏洞 可被监听输入内容

公民实验室：云输入法存在漏洞 可被监听输入内容 公民实验室的研究人员分析九家输入法软件，其中发现其中八家存在严重漏洞，使攻击者可以监视用户的输入内容。 研究人员已经向受影响的厂商报告了这些漏洞，并大部分厂商都进行了修补。但仍有少数输入法未修补这些漏洞。 此外，五眼联盟曾经利用类似的漏洞进行监控活动。 详细了解更多信息 投稿By:kishinsagi

一系列云端输入法漏洞使网络攻击者得以监看个人用户的输入内容

一系列云端输入法漏洞使网络攻击者得以监看个人用户的输入内容 分析结果指出，九家厂商中，有八家输入法软件包含严重漏洞，使我们得以完整破解厂商设计用于保护用户输入内容的加密法。亦有部分厂商并未使用任何加密法保护用户输入内容。 1，主动和被动型网络监听者均可以破解加密的用户输入内容，已被我们成功实测 2，主动型网络监听者可以破解加密的用户输入内容，已被我们成功实测 3，!加密法实操中存在弱点 4，未发现问题 5，N/A该产品在我们测试的设备上不提供或是不存在 6，* 在我们的测试设备上，此为默认的输入法 链接： 让你们用搜狗，用国内的输入法，阿喵我现在已经完全拥抱rime了 rime： #输入法 #网络安全 推特 | 圈子 | 群聊 | 投稿

公民实验室公布中国各大厂商手机输入法的漏洞及提交厂商后修复情况的跟踪报告

公民实验室公布中国各大厂商手机输入法的漏洞及提交厂商后修复情况的跟踪报告 公民实验室分析了常见云端拼音输入法的安全性，包含百度、荣耀、华为、讯飞、OPPO、三星、腾讯等九家厂商，并分析了它们发送用户输入内容到云端的过程是否含有安全缺陷。 分析结果指出，九家厂商中，有八家输入法软件包含严重漏洞，使我们得以完整破解厂商设计用于保护用户输入内容的加密法。亦有部分厂商并未使用任何加密法保护用户输入内容。 在发出报告之前，已向受影响的九家开发商提交这些漏洞，大部分开发商均认真看待问题并予以回应，修补了漏洞，但仍有少数输入法未修补漏洞。 在漏洞修复前，国内发行的手机自带的输入法中，除了华为和Vivo（自研输入法）的是安全以外，其他均存在漏洞。 在公民实验室报告漏洞后，荣耀完全未修补任何漏洞，其余厂商都只修补了部分最严重的漏洞。 值得一提的是，百度、Vivo （系统中自带的另一个搜狗输入法）和小米对于漏洞的提交并没有任何回复。 来源：

#互联网观察 #隐私▎搜狗输入法：用户数据被窃听

#互联网观察 #隐私 ▎搜狗输入法：用户数据被窃听 来自多伦多大学的公民实验室报告指出，通过分析搜狗输入法的 Windows、Android 和 iOS 版本，发现软件的定制设计的“EncryptWall”加密系统及其加密敏感数据的方式存在严重漏洞，包含敏感数据（例如包含用户击键的数据）的网络传输可以被网络窃听者破译，从而知晓用户在键入时键入的具体内容。 ▎沟通时间线 实验室在5月31日向腾讯报告了此漏洞，但有趣的是，腾讯在第一次回复该漏洞时指出：“此问题不存在低或低安全风险”，而在18小时后又回复“抱歉，之前的回复有误，我们正在处理这个漏洞，请不要公开，非常感谢您的报告。”随后在7月20日的更新版本中修复了该漏洞。 研究人员在与腾讯沟通时遭遇了一些困难，原因是他们的电子邮件域（citizenlab.ca）在中国被屏蔽。他们发现电子邮件域被国家防火墙注入了异常的DNS，以响应对这个域的查询。这可能导致腾讯的邮件没有被正确地发送到citizenlab.ca的邮箱。 ▎评估总结 搜狗输入法，一个拥有超过4.5亿用户的应用程序，未能正确保护传输的敏感数据，例如用户的键盘输入。这使得任何网络窃听者都可以恢复这些数据。这种漏洞本可以通过采用TLS（传输层安全）来轻易避免，而不是使用“自制”加密。 尽管现在已经解决了报道的漏洞，但搜狗应用依然依赖于将键入的内容传输到搜狗的服务器。这意味着，来自世界各地的用户的键入内容都被传输到中国大陆的服务器。这些服务器在中国政府的法律管辖之下。高风险的搜狗用户应该保持警惕，因为输入的内容可能包括敏感或个人信息。 由ChtGPT阅读文档并总结，频道 @AppDoDo

对多家中国公司的拼音键盘应用程序分析发现可能向网络窃听者泄露击键内容的漏洞

对多家中国公司的拼音键盘应用程序分析发现可能向网络窃听者泄露击键内容的漏洞 我们（公民实验室）分析了常见云端拼音输入法的安全性，包含百度、荣耀、华为、讯飞、OPPO、三星、腾讯等九家厂商，并分析了它们发送用户输入内容到云端的过程是否含有安全缺陷。分析结果指出，九家厂商中，有八家输入法软件包含严重漏洞，使我们得以完整破解厂商设计用于保护用户输入内容的加密法。亦有部分厂商并未使用任何加密法保护用户输入内容。综合本研究和我们先前研究中发现的搜狗输入法漏洞，我们估计至多有十亿用户受到这些漏洞影响。基于下述原因，我们认为用户输入的内容可能已经遭到大规模收集： ·这些漏洞影响了广泛的用户群体 ·用户在键盘中输入的信息极为敏感 ·发现这些漏洞不需要高深技术 ·五眼联盟过去曾利用中国应用程序中类似的漏洞施行监控 在我们测试的九家厂商的应用程序中，仅有华为的产品未发现任何上传用户输入内容至云端相关的安全问题，其余每一家厂商都至少有一个应用程序含有漏洞，使得被动型网络攻击者得以监看用户输入的完整内容。 （）

重要: 搜狗输入法疑似存在重大隐私风险问题，输入法存在将用户输入记录被上传至腾讯公司服务器行为

重要: 搜狗输入法疑似存在重大隐私风险问题，输入法存在将用户输入记录被上传至腾讯公司服务器行为 影响等级: [重要/需要关注的] 内容: 根据多伦多大学公民实验室的研究人员披露来自于中国公司的搜狗输入法存在一个加密漏洞，研究人员尝试在三个操作系统平台上分析了搜狗输入法，发现该漏洞可以让系统使敏感数据可以被网络窃听者破译。同时在使用 Wireshark 和 mitmproxy 进行网络流量捕获和分析中发现搜狗输入法存在上传用户输入信息的问题[包括手写输入] 原理: 搜狗输入法各个版本都使用内部称为 “EncryptWall” 的加密系统对敏感数据进行加密。 我们发现Windows和Android版本的搜狗输入法在该加密系统中存在漏洞其中包括 CBC padding oracle攻击 漏洞，该漏洞允许网络窃听者恢复加密网络传输的明文，从而泄露包括用户输入内容在内的敏感信息，本次披露依靠该漏洞实现流量解密证明了腾讯公司旗下产品存在隐私问题 后续发展: 研究人员在向腾讯公司披露该漏洞后电子邮件域遭到中国长城防火墙DNS污染屏蔽，同时腾讯在和研究人员的交流过程中宣称漏洞得到了缓解但只是修改服务器以在出现错误时无条件返回状态代码 400 注意: 该漏洞导致搜狗输入法加密流量可以被第三方劫持和获取，但也侧面证明了搜狗输入法存在非常严重的隐私问题 处置建议: 更换输入法，如果存在相同隐私担忧建议使用谷歌键盘 消息来源：/