多伦多大学研究员发现，搜狗输入法存在隐私风险与安全漏洞

多伦多大学研究员发现，搜狗输入法存在隐私风险与安全漏洞 来自多伦多大学公民实验室的研究人员披露了搜狗输入法的一个加密漏洞，研究员通过对软件的 Windows 、Android 和 iOS 版本进行分析，发现了搜狗输入法内部的“EncryptWall”加密系统存在令人担忧的漏洞。其中包括 CBC padding oracle 攻击漏洞，这使得网络窃听者能够恢复加密网络传输的明文。 研究人员发现搜狗输入法会将用户的输入记录上传至腾讯服务器，上传过程中包含的敏感数据（例如用户按键的数据）的网络传输可以根据漏洞被网络窃听者破译，从而会暴露用户在按键输入时键入的内容。 研究员向搜狗开发人员披露了这些漏洞后，搜狗已于 2023 年 7 月 20 日发布了受影响软件的修复版本（ Windows 版本 13.7、Android 版本 11.26 和 iOS 版本 11.25 ）。

#互联网观察 #隐私▎搜狗输入法：用户数据被窃听

#互联网观察 #隐私 ▎搜狗输入法：用户数据被窃听 来自多伦多大学的公民实验室报告指出，通过分析搜狗输入法的 Windows、Android 和 iOS 版本，发现软件的定制设计的“EncryptWall”加密系统及其加密敏感数据的方式存在严重漏洞，包含敏感数据（例如包含用户击键的数据）的网络传输可以被网络窃听者破译，从而知晓用户在键入时键入的具体内容。 ▎沟通时间线 实验室在5月31日向腾讯报告了此漏洞，但有趣的是，腾讯在第一次回复该漏洞时指出：“此问题不存在低或低安全风险”，而在18小时后又回复“抱歉，之前的回复有误，我们正在处理这个漏洞，请不要公开，非常感谢您的报告。”随后在7月20日的更新版本中修复了该漏洞。 研究人员在与腾讯沟通时遭遇了一些困难，原因是他们的电子邮件域（citizenlab.ca）在中国被屏蔽。他们发现电子邮件域被国家防火墙注入了异常的DNS，以响应对这个域的查询。这可能导致腾讯的邮件没有被正确地发送到citizenlab.ca的邮箱。 ▎评估总结 搜狗输入法，一个拥有超过4.5亿用户的应用程序，未能正确保护传输的敏感数据，例如用户的键盘输入。这使得任何网络窃听者都可以恢复这些数据。这种漏洞本可以通过采用TLS（传输层安全）来轻易避免，而不是使用“自制”加密。 尽管现在已经解决了报道的漏洞，但搜狗应用依然依赖于将键入的内容传输到搜狗的服务器。这意味着，来自世界各地的用户的键入内容都被传输到中国大陆的服务器。这些服务器在中国政府的法律管辖之下。高风险的搜狗用户应该保持警惕，因为输入的内容可能包括敏感或个人信息。 由ChtGPT阅读文档并总结，频道 @AppDoDo

搜狗输入法存在敏感数据泄露的风险

搜狗输入法存在敏感数据泄露的风险 加拿大多伦多大学的公民实验室发现，腾讯开发的 搜狗输入法 Windows版和Android版在上传用户的输入数据至服务器时，没有使用HTTPS，而是纯 HTTP 配合自行开发的 EncryptWall 加密。而EncryptWall存在缺陷，网络窃听者可以利用算法缺陷获取明文。明文信息包括用户输入内容、手写内容在内的敏感信息。 （iOS版在上传这些数据时使用了 HTTPS，暂时未发现风险。） Windows版 13.7，Android版 11.26，iOS版 11.25 以上已采取措施缓解该问题，建议用户更新。

近日,Up主epcdiy发影片称，国行版三星手机自带的搜狗输入法会将用户输入的资料透过post的方式发送到输入法开发商，而从官网

近日,Up主epcdiy发影片称，国行版三星手机自带的搜狗输入法会将用户输入的资料透过post的方式发送到输入法开发商，而从官网下载的搜狗输入法版本会透过HTTPS加密 发送这些数据。 同时在影片中，Up主给出如何防止输入法拿走隐私的建议。

搜狗输入法 11.34.2更新

搜狗输入法 11.34.2更新 一款输入法软件 可使用付费皮肤和字体 购买单个皮肤后可以立即启用 购买套装后点击特效管理后点皮肤中的启用后可立即启动 购买过的皮肤或者套装在我的收藏可见，但是切换购买过的皮肤(套装)或者没购买过的皮肤(套装)需启用时都必须点购买即可 仅巨魔可用，如果出现任何问题(切换问题)就用巨魔强制覆盖商店下的登录后的搜狗输入法 #搜狗输入法 #输入法 更多资源尽在酷卡网盘：

近日,Up主epcdiy发视频称，国行版三星手机自带的搜狗输入法会将用户输入的数据通过post的方式发送到输入法开发商，而从官网

近日,Up主epcdiy发视频称，国行版三星手机自带的搜狗输入法会将用户输入的数据通过post的方式发送到输入法开发商，而从官网下载的搜狗输入法版本会通过 HTTPS加密发送这些数据。同时视频中，Up主给出了如何防止输入法拿走隐私的建议。