▎多达十亿用户的云输入法可能已泄露输入内容

#互联网观察▎多达十亿用户的云输入法可能已泄露输入内容来自分析了来自九家供应商（百度、荣耀、华为、科大讯飞、OPPO、三星、腾讯、Vivo和小米）的基于云的拼音键盘应用程序的安全性，并检查了它们传输用户击键的漏洞。分析结果指出，九家厂商中，有八家输入法软件包含严重漏洞，使我们得以完整破解厂商设计用于保护用户输入内容的加密法。亦有部分厂商并未使用任何加密法保护用户输入内容。综合本研究和我们先前研究中发现的搜狗输入法漏洞，我们估计至多有十亿用户受到这些漏洞影响。基于下述原因，我们认为用户输入的内容可能已经遭到大规模收集：这些漏洞影响了广泛的用户群体用户在键盘中输入的信息极为敏感发现这些漏洞不需要高深技术五眼联盟过去曾利用中国应用程序中类似的漏洞施行监控该实验室已向受影响的九家开发商提交这些漏洞，大部分开发商均认真看待问题并予以回应，修补了漏洞，但仍有少数输入法未修补漏洞。▎报告链接中文摘要版：英文全文版：该新闻为慢讯，频道@AppDoDo

对多家中国公司的拼音键盘应用程序分析发现可能向网络窃听者泄露击键内容的漏洞

对多家中国公司的拼音键盘应用程序分析发现可能向网络窃听者泄露击键内容的漏洞我们（公民实验室）分析了常见云端拼音输入法的安全性，包含百度、荣耀、华为、讯飞、OPPO、三星、腾讯等九家厂商，并分析了它们发送用户输入内容到云端的过程是否含有安全缺陷。分析结果指出，九家厂商中，有八家输入法软件包含严重漏洞，使我们得以完整破解厂商设计用于保护用户输入内容的加密法。亦有部分厂商并未使用任何加密法保护用户输入内容。综合本研究和我们先前研究中发现的搜狗输入法漏洞，我们估计至多有十亿用户受到这些漏洞影响。基于下述原因，我们认为用户输入的内容可能已经遭到大规模收集：·这些漏洞影响了广泛的用户群体·用户在键盘中输入的信息极为敏感·发现这些漏洞不需要高深技术·五眼联盟过去曾利用中国应用程序中类似的漏洞施行监控在我们测试的九家厂商的应用程序中，仅有华为的产品未发现任何上传用户输入内容至云端相关的安全问题，其余每一家厂商都至少有一个应用程序含有漏洞，使得被动型网络攻击者得以监看用户输入的完整内容。——（）

多伦多大学研究员发现，搜狗输入法存在隐私风险与安全漏洞

多伦多大学研究员发现，搜狗输入法存在隐私风险与安全漏洞来自多伦多大学公民实验室的研究人员披露了搜狗输入法的一个加密漏洞，研究员通过对软件的Windows、Android和iOS版本进行分析，发现了搜狗输入法内部的“EncryptWall”加密系统存在令人担忧的漏洞。其中包括CBCpaddingoracle攻击漏洞，这使得网络窃听者能够恢复加密网络传输的明文。研究人员发现搜狗输入法会将用户的输入记录上传至腾讯服务器，上传过程中包含的敏感数据（例如用户按键的数据）的网络传输可以根据漏洞被网络窃听者破译，从而会暴露用户在按键输入时键入的内容。研究员向搜狗开发人员披露了这些漏洞后，搜狗已于2023年7月20日发布了受影响软件的修复版本（Windows版本13.7、Android版本11.26和iOS版本11.25）。——

搜狗输入法存在敏感数据泄露的风险

搜狗输入法存在敏感数据泄露的风险加拿大多伦多大学的公民实验室发现，腾讯开发的搜狗输入法Windows版和Android版在上传用户的输入数据至服务器时，没有使用HTTPS，而是纯HTTP配合自行开发的EncryptWall加密。而EncryptWall存在缺陷，网络窃听者可以利用算法缺陷获取明文。明文信息包括用户输入内容、手写内容在内的敏感信息。（iOS版在上传这些数据时使用了HTTPS，暂时未发现风险。）Windows版13.7，Android版11.26，iOS版11.25以上已采取措施缓解该问题，建议用户更新。https://citizenlab.ca/2023/08/vulnerabilities-in-sogou-keyboard-encryption/

南方周末 |输入法会“背叛”我们吗？

在看到自己输入法的App中开放了相册和位置信息时，谢渊很诧异，迅速将位置信息关闭了。 易观一组数据表明，中国第三方输入法的活跃用户在2019年达到7.71亿。输入法已成网民刚需。一些输入法嵌入的广告SDK（软件开发工具包），会获取用户的画像及标签，以便推荐个性化广告。这也是为什么我们在聊天场景中提到的信息会出现在其他平台。用户同意隐私条款的内容，不意味着输入法公司有权将相关用户个人信息与第三方共享。输入法个人信息泄露案件就曾多次发生。

【CDT报告汇】公民实验室：几乎所有中文输入法都会泄露输入的内容（外二篇）

公民实验室调查了百度、荣耀、华为、讯飞、OPPO、三星、腾讯、VIVO和小米九家手机厂商和输入法软件公司，发现有八家提供的输入法存在严重漏洞，这些漏洞可以被用来监视用户输入的内容。