多伦多大学研究员发现，搜狗输入法存在隐私风险与安全漏洞

多伦多大学研究员发现，搜狗输入法存在隐私风险与安全漏洞 来自多伦多大学公民实验室的研究人员披露了搜狗输入法的一个加密漏洞，研究员通过对软件的 Windows 、Android 和 iOS 版本进行分析，发现了搜狗输入法内部的“EncryptWall”加密系统存在令人担忧的漏洞。其中包括 CBC padding oracle 攻击漏洞，这使得网络窃听者能够恢复加密网络传输的明文。 研究人员发现搜狗输入法会将用户的输入记录上传至腾讯服务器，上传过程中包含的敏感数据（例如用户按键的数据）的网络传输可以根据漏洞被网络窃听者破译，从而会暴露用户在按键输入时键入的内容。 研究员向搜狗开发人员披露了这些漏洞后，搜狗已于 2023 年 7 月 20 日发布了受影响软件的修复版本（ Windows 版本 13.7、Android 版本 11.26 和 iOS 版本 11.25 ）。

重要: 搜狗输入法疑似存在重大隐私风险问题，输入法存在将用户输入记录被上传至腾讯公司服务器行为

重要: 搜狗输入法疑似存在重大隐私风险问题，输入法存在将用户输入记录被上传至腾讯公司服务器行为 影响等级: [重要/需要关注的] 内容: 根据多伦多大学公民实验室的研究人员披露来自于中国公司的搜狗输入法存在一个加密漏洞，研究人员尝试在三个操作系统平台上分析了搜狗输入法，发现该漏洞可以让系统使敏感数据可以被网络窃听者破译。同时在使用 Wireshark 和 mitmproxy 进行网络流量捕获和分析中发现搜狗输入法存在上传用户输入信息的问题[包括手写输入] 原理: 搜狗输入法各个版本都使用内部称为 “EncryptWall” 的加密系统对敏感数据进行加密。 我们发现Windows和Android版本的搜狗输入法在该加密系统中存在漏洞其中包括 CBC padding oracle攻击 漏洞，该漏洞允许网络窃听者恢复加密网络传输的明文，从而泄露包括用户输入内容在内的敏感信息，本次披露依靠该漏洞实现流量解密证明了腾讯公司旗下产品存在隐私问题 后续发展: 研究人员在向腾讯公司披露该漏洞后电子邮件域遭到中国长城防火墙DNS污染屏蔽，同时腾讯在和研究人员的交流过程中宣称漏洞得到了缓解但只是修改服务器以在出现错误时无条件返回状态代码 400 注意: 该漏洞导致搜狗输入法加密流量可以被第三方劫持和获取，但也侧面证明了搜狗输入法存在非常严重的隐私问题 处置建议: 更换输入法，如果存在相同隐私担忧建议使用谷歌键盘 消息来源：/

《微信输入法_v2.0.0.apk》| 简介：输入法v2.0.0是腾讯基于生态推出的一款手机输入法。它与深度融合，能更好地识别聊

《微信输入法_v2.0.0.apk》| 简介：微信输入法v2.0.0是腾讯基于微信生态推出的一款手机输入法。它与微信深度融合，能更好地识别微信聊天场景中的常用词汇，提供精准的词库联想和智能纠错功能。支持多种输入方式，如拼音、笔画、手写等，还具备个性化皮肤设置，满足不同用户的输入习惯和审美需求，提升微信聊天及其他应用中的输入体验 |标签：#微信输入法_v2.0.0#手机输入法#微信生态#输入优化|文件大小NG| 链接：