#互联网观察 #隐私▎搜狗输入法:用户数据被窃听

#互联网观察 #隐私 ▎搜狗输入法:用户数据被窃听 来自多伦多大学的公民实验室报告指出,通过分析搜狗输入法的 Windows、Android 和 iOS 版本,发现软件的定制设计的“EncryptWall”加密系统及其加密敏感数据的方式存在严重漏洞,包含敏感数据(例如包含用户击键的数据)的网络传输可以被网络窃听者破译,从而知晓用户在键入时键入的具体内容。 ▎沟通时间线 实验室在5月31日向腾讯报告了此漏洞,但有趣的是,腾讯在第一次回复该漏洞时指出:“此问题不存在低或低安全风险”,而在18小时后又回复“抱歉,之前的回复有误,我们正在处理这个漏洞,请不要公开,非常感谢您的报告。”随后在7月20日的更新版本中修复了该漏洞。 研究人员在与腾讯沟通时遭遇了一些困难,原因是他们的电子邮件域(citizenlab.ca)在中国被屏蔽。他们发现电子邮件域被国家防火墙注入了异常的DNS,以响应对这个域的查询。这可能导致腾讯的邮件没有被正确地发送到citizenlab.ca的邮箱。 ▎评估总结 搜狗输入法,一个拥有超过4.5亿用户的应用程序,未能正确保护传输的敏感数据,例如用户的键盘输入。这使得任何网络窃听者都可以恢复这些数据。这种漏洞本可以通过采用TLS(传输层安全)来轻易避免,而不是使用“自制”加密。 尽管现在已经解决了报道的漏洞,但搜狗应用依然依赖于将键入的内容传输到搜狗的服务器。这意味着,来自世界各地的用户的键入内容都被传输到中国大陆的服务器。这些服务器在中国政府的法律管辖之下。高风险的搜狗用户应该保持警惕,因为输入的内容可能包括敏感或个人信息。 由ChtGPT阅读文档并总结,频道 @AppDoDo

相关推荐

封面图片

多伦多大学研究员发现,搜狗输入法存在隐私风险与安全漏洞

多伦多大学研究员发现,搜狗输入法存在隐私风险与安全漏洞 来自多伦多大学公民实验室的研究人员披露了搜狗输入法的一个加密漏洞,研究员通过对软件的 Windows 、Android 和 iOS 版本进行分析,发现了搜狗输入法内部的“EncryptWall”加密系统存在令人担忧的漏洞。其中包括 CBC padding oracle 攻击漏洞,这使得网络窃听者能够恢复加密网络传输的明文。 研究人员发现搜狗输入法会将用户的输入记录上传至腾讯服务器,上传过程中包含的敏感数据(例如用户按键的数据)的网络传输可以根据漏洞被网络窃听者破译,从而会暴露用户在按键输入时键入的内容。 研究员向搜狗开发人员披露了这些漏洞后,搜狗已于 2023 年 7 月 20 日发布了受影响软件的修复版本( Windows 版本 13.7、Android 版本 11.26 和 iOS 版本 11.25 )。
封面图片

重要: 搜狗输入法疑似存在重大隐私风险问题,输入法存在将用户输入记录被上传至腾讯公司服务器行为

重要: 搜狗输入法疑似存在重大隐私风险问题,输入法存在将用户输入记录被上传至腾讯公司服务器行为 影响等级: [重要/需要关注的] 内容: 根据多伦多大学公民实验室的研究人员披露来自于中国公司的搜狗输入法存在一个加密漏洞,研究人员尝试在三个操作系统平台上分析了搜狗输入法,发现该漏洞可以让系统使敏感数据可以被网络窃听者破译。同时在使用 Wireshark 和 mitmproxy 进行网络流量捕获和分析中发现搜狗输入法存在上传用户输入信息的问题[包括手写输入] 原理: 搜狗输入法各个版本都使用内部称为 “EncryptWall” 的加密系统对敏感数据进行加密。 我们发现Windows和Android版本的搜狗输入法在该加密系统中存在漏洞其中包括 CBC padding oracle攻击 漏洞,该漏洞允许网络窃听者恢复加密网络传输的明文,从而泄露包括用户输入内容在内的敏感信息,本次披露依靠该漏洞实现流量解密证明了腾讯公司旗下产品存在隐私问题 后续发展: 研究人员在向腾讯公司披露该漏洞后电子邮件域遭到中国长城防火墙DNS污染屏蔽,同时腾讯在和研究人员的交流过程中宣称漏洞得到了缓解但只是修改服务器以在出现错误时无条件返回状态代码 400 注意: 该漏洞导致搜狗输入法加密流量可以被第三方劫持和获取,但也侧面证明了搜狗输入法存在非常严重的隐私问题 处置建议: 更换输入法,如果存在相同隐私担忧建议使用谷歌键盘 消息来源:/
封面图片

#互联网观察▎搜狗定制版输入法 :明文传输用户数据且共享给广告商

#互联网观察 ▎搜狗定制版输入法 :明文传输用户数据且共享给广告商 据哔哩哔哩 UP 主 @EPCDIY 以及 360 安全工程师边亮联合发布的视频,他们发现某知名手机品牌内置的中文输入法竟然还使用 HTTP 明文协议传输数据。 根据视频不难发现,视频中提及的是三星的手机以及搜狗定制输入法。根据 UP 主的说明,这个问题此前已经通报给了三星,三星承认问题并发布补丁进行修复,现在视频公开了应该就是修复了。 ▎相关报告及引用 本文参考了以及bilibili网UP主 @EPCDIY的。 频道 @AppDoDo
封面图片

搜狗输入法存在敏感数据泄露的风险

搜狗输入法存在敏感数据泄露的风险 加拿大多伦多大学的公民实验室发现,腾讯开发的 搜狗输入法 Windows版和Android版在上传用户的输入数据至服务器时,没有使用HTTPS,而是纯 HTTP 配合自行开发的 EncryptWall 加密。而EncryptWall存在缺陷,网络窃听者可以利用算法缺陷获取明文。明文信息包括用户输入内容、手写内容在内的敏感信息。 (iOS版在上传这些数据时使用了 HTTPS,暂时未发现风险。) Windows版 13.7,Android版 11.26,iOS版 11.25 以上已采取措施缓解该问题,建议用户更新。
封面图片

#互联网观察▎多达十亿用户的云输入法可能已泄露输入内容

#互联网观察 ▎多达十亿用户的云输入法可能已泄露输入内容 来自分析了来自九家供应商(百度、荣耀、华为、科大讯飞、OPPO、三星、腾讯、Vivo 和小米)的基于云的拼音键盘应用程序的安全性,并检查了它们传输用户击键的漏洞。 分析结果指出,九家厂商中,有八家输入法软件包含严重漏洞,使我们得以完整破解厂商设计用于保护用户输入内容的加密法。亦有部分厂商并未使用任何加密法保护用户输入内容。 综合本研究和我们先前研究中发现的搜狗输入法漏洞,我们估计至多有十亿用户受到这些漏洞影响。基于下述原因,我们认为用户输入的内容可能已经遭到大规模收集: 这些漏洞影响了广泛的用户群体 用户在键盘中输入的信息极为敏感 发现这些漏洞不需要高深技术 五眼联盟过去曾利用中国应用程序中类似的漏洞施行监控 该实验室已向受影响的九家开发商提交这些漏洞,大部分开发商均认真看待问题并予以回应,修补了漏洞,但仍有少数输入法未修补漏洞。 ▎报告链接 中文摘要版: 英文全文版: 该新闻为慢讯,频道 @AppDoDo
封面图片

《搜狗拼音输入法电脑版 》| 简介:搜狗拼音输入法电脑版是一款广泛使用的中文输入法,拥有智能词库、多种输入方式,能精准识别用户输

《搜狗拼音输入法电脑版 》| 简介:搜狗拼音输入法电脑版是一款广泛使用的中文输入法,拥有智能词库、多种输入方式,能精准识别用户输入意图,提供便捷的电脑中文输入体验 | 标签:# 搜狗拼音输入法电脑版 #中文输入法# 智能词库 #电脑输入 | 文件大小 NG | 链接:

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人