公民实验室公布中国各大厂商手机输入法的漏洞及提交厂商后修复情况的跟踪报告

公民实验室公布中国各大厂商手机输入法的漏洞及提交厂商后修复情况的跟踪报告 公民实验室分析了常见云端拼音输入法的安全性，包含百度、荣耀、华为、讯飞、OPPO、三星、腾讯等九家厂商，并分析了它们发送用户输入内容到云端的过程是否含有安全缺陷。 分析结果指出，九家厂商中，有八家输入法软件包含严重漏洞，使我们得以完整破解厂商设计用于保护用户输入内容的加密法。亦有部分厂商并未使用任何加密法保护用户输入内容。 在发出报告之前，已向受影响的九家开发商提交这些漏洞，大部分开发商均认真看待问题并予以回应，修补了漏洞，但仍有少数输入法未修补漏洞。 在漏洞修复前，国内发行的手机自带的输入法中，除了华为和Vivo（自研输入法）的是安全以外，其他均存在漏洞。 在公民实验室报告漏洞后，荣耀完全未修补任何漏洞，其余厂商都只修补了部分最严重的漏洞。 值得一提的是，百度、Vivo （系统中自带的另一个搜狗输入法）和小米对于漏洞的提交并没有任何回复。 来源：

重要: 搜狗输入法疑似存在重大隐私风险问题，输入法存在将用户输入记录被上传至腾讯公司服务器行为

重要: 搜狗输入法疑似存在重大隐私风险问题，输入法存在将用户输入记录被上传至腾讯公司服务器行为 影响等级: [重要/需要关注的] 内容: 根据多伦多大学公民实验室的研究人员披露来自于中国公司的搜狗输入法存在一个加密漏洞，研究人员尝试在三个操作系统平台上分析了搜狗输入法，发现该漏洞可以让系统使敏感数据可以被网络窃听者破译。同时在使用 Wireshark 和 mitmproxy 进行网络流量捕获和分析中发现搜狗输入法存在上传用户输入信息的问题[包括手写输入] 原理: 搜狗输入法各个版本都使用内部称为 “EncryptWall” 的加密系统对敏感数据进行加密。 我们发现Windows和Android版本的搜狗输入法在该加密系统中存在漏洞其中包括 CBC padding oracle攻击 漏洞，该漏洞允许网络窃听者恢复加密网络传输的明文，从而泄露包括用户输入内容在内的敏感信息，本次披露依靠该漏洞实现流量解密证明了腾讯公司旗下产品存在隐私问题 后续发展: 研究人员在向腾讯公司披露该漏洞后电子邮件域遭到中国长城防火墙DNS污染屏蔽，同时腾讯在和研究人员的交流过程中宣称漏洞得到了缓解但只是修改服务器以在出现错误时无条件返回状态代码 400 注意: 该漏洞导致搜狗输入法加密流量可以被第三方劫持和获取，但也侧面证明了搜狗输入法存在非常严重的隐私问题 处置建议: 更换输入法，如果存在相同隐私担忧建议使用谷歌键盘 消息来源：/

#互联网观察▎多达十亿用户的云输入法可能已泄露输入内容

#互联网观察 ▎多达十亿用户的云输入法可能已泄露输入内容 来自分析了来自九家供应商（百度、荣耀、华为、科大讯飞、OPPO、三星、腾讯、Vivo 和小米）的基于云的拼音键盘应用程序的安全性，并检查了它们传输用户击键的漏洞。 分析结果指出，九家厂商中，有八家输入法软件包含严重漏洞，使我们得以完整破解厂商设计用于保护用户输入内容的加密法。亦有部分厂商并未使用任何加密法保护用户输入内容。 综合本研究和我们先前研究中发现的搜狗输入法漏洞，我们估计至多有十亿用户受到这些漏洞影响。基于下述原因，我们认为用户输入的内容可能已经遭到大规模收集： 这些漏洞影响了广泛的用户群体 用户在键盘中输入的信息极为敏感 发现这些漏洞不需要高深技术 五眼联盟过去曾利用中国应用程序中类似的漏洞施行监控 该实验室已向受影响的九家开发商提交这些漏洞，大部分开发商均认真看待问题并予以回应，修补了漏洞，但仍有少数输入法未修补漏洞。 ▎报告链接 中文摘要版： 英文全文版： 该新闻为慢讯，频道 @AppDoDo

多伦多大学研究员发现，搜狗输入法存在隐私风险与安全漏洞

多伦多大学研究员发现，搜狗输入法存在隐私风险与安全漏洞 来自多伦多大学公民实验室的研究人员披露了搜狗输入法的一个加密漏洞，研究员通过对软件的 Windows 、Android 和 iOS 版本进行分析，发现了搜狗输入法内部的“EncryptWall”加密系统存在令人担忧的漏洞。其中包括 CBC padding oracle 攻击漏洞，这使得网络窃听者能够恢复加密网络传输的明文。 研究人员发现搜狗输入法会将用户的输入记录上传至腾讯服务器，上传过程中包含的敏感数据（例如用户按键的数据）的网络传输可以根据漏洞被网络窃听者破译，从而会暴露用户在按键输入时键入的内容。 研究员向搜狗开发人员披露了这些漏洞后，搜狗已于 2023 年 7 月 20 日发布了受影响软件的修复版本（ Windows 版本 13.7、Android 版本 11.26 和 iOS 版本 11.25 ）。

一系列云端输入法漏洞使网络攻击者得以监看个人用户的输入内容

一系列云端输入法漏洞使网络攻击者得以监看个人用户的输入内容 分析结果指出，九家厂商中，有八家输入法软件包含严重漏洞，使我们得以完整破解厂商设计用于保护用户输入内容的加密法。亦有部分厂商并未使用任何加密法保护用户输入内容。 1，主动和被动型网络监听者均可以破解加密的用户输入内容，已被我们成功实测 2，主动型网络监听者可以破解加密的用户输入内容，已被我们成功实测 3，!加密法实操中存在弱点 4，未发现问题 5，N/A该产品在我们测试的设备上不提供或是不存在 6，* 在我们的测试设备上，此为默认的输入法 链接： 让你们用搜狗，用国内的输入法，阿喵我现在已经完全拥抱rime了 rime： #输入法 #网络安全 推特 | 圈子 | 群聊 | 投稿

警告 多伦多大学公民实验室(The Citizen Lab)发布报告指出:在测试的九家厂商的应用程式中,华为,百度、荣耀、讯飞、

警告 多伦多大学公民实验室(The Citizen Lab)发布报告指出:在测试的九家厂商的应用程式中,华为,百度、荣耀、讯飞、 三星、 OPPO、腾讯、VIVO和小米在内的厂商提供的输入 法存在严重漏洞,这些漏洞被用来监视使用者输入的内容。 以亿为单位的用户受到威胁!这些输入法在网路上即时捕获用户的输入内容！