(資料圖)

搜狗拼音輸入法加密系統(tǒng)爆安全漏洞可暴露用戶輸入。

搜狗輸入法是國(guó)內(nèi)排名第一的輸入法，有超過(guò) 4.55 億月活用戶，支持 Windows、安卓、iOS、Linux 等系統(tǒng)。

加拿大多倫多大學(xué) Citizen Lab 研究人員發(fā)現(xiàn)搜狗輸入法使用的加密算法存在漏洞，惡意攻擊者可解密用戶的輸入信息。漏洞影響 Windows、安卓和 iOS 平臺(tái)。

漏洞產(chǎn)生的根源是搜狗定制的加密系統(tǒng)—— EncryptWall。該系統(tǒng)是敏感流量到未加密的搜狗 HTTP API 終端的安全通道，通過(guò)明文 HTTP POST 請(qǐng)求中的加密字段來(lái)實(shí)現(xiàn)。研究人員分析發(fā)現(xiàn) EncryptWall 系統(tǒng)易受到 CBC Padding oracle 攻擊，這是一種選擇密文攻擊，影響使用 CBC 模式和 PKCS#7 填充的分組加密。網(wǎng)絡(luò)監(jiān)聽(tīng)者利用該攻擊可以在不知道加密密鑰的情況下恢復(fù)加密的網(wǎng)絡(luò)傳輸?shù)拿魑?，恢?fù)包括用戶輸入在內(nèi)的敏感信息明文。

圖 恢復(fù)的明文輸入示例

該漏洞并不僅僅影響國(guó)內(nèi)用戶，根據(jù) SimilarWeb 網(wǎng)站的統(tǒng)計(jì)數(shù)據(jù)，shurufa.sogou [ . ] com 的訪問(wèn)用戶除中國(guó)大陸外，還包括中國(guó)臺(tái)灣、中國(guó)香港、美國(guó)、日本等地區(qū)。

研究人員稱修復(fù)方式非常簡(jiǎn)單，只需要使用 TLS 這類加密實(shí)現(xiàn)即可。搜狗已于 2023 年 7 月 20 日修復(fù)了該漏洞，建議 Windows、安卓和 iOS 用戶更新到 Windows 13.7、安卓 11.26 和 iOS 11.25 及以上版本。

完整技術(shù)分析參見(jiàn)：https://citizenlab.ca/2023/08/vulnerabilities-in-sogou-keyboard-encryption/