(资料图)

搜狗拼音输入法加密系统爆安全漏洞可暴露用户输入。

搜狗输入法是国内排名第一的输入法，有超过 4.55 亿月活用户，支持 Windows、安卓、iOS、Linux 等系统。

加拿大多伦多大学 Citizen Lab 研究人员发现搜狗输入法使用的加密算法存在漏洞，恶意攻击者可解密用户的输入信息。漏洞影响 Windows、安卓和 iOS 平台。

漏洞产生的根源是搜狗定制的加密系统—— EncryptWall。该系统是敏感流量到未加密的搜狗 HTTP API 终端的安全通道，通过明文 HTTP POST 请求中的加密字段来实现。研究人员分析发现 EncryptWall 系统易受到 CBC Padding oracle 攻击，这是一种选择密文攻击，影响使用 CBC 模式和 PKCS#7 填充的分组加密。网络监听者利用该攻击可以在不知道加密密钥的情况下恢复加密的网络传输的明文，恢复包括用户输入在内的敏感信息明文。

图 恢复的明文输入示例

该漏洞并不仅仅影响国内用户，根据 SimilarWeb 网站的统计数据，shurufa.sogou [ . ] com 的访问用户除中国大陆外，还包括中国台湾、中国香港、美国、日本等地区。

研究人员称修复方式非常简单，只需要使用 TLS 这类加密实现即可。搜狗已于 2023 年 7 月 20 日修复了该漏洞，建议 Windows、安卓和 iOS 用户更新到 Windows 13.7、安卓 11.26 和 iOS 11.25 及以上版本。

完整技术分析参见：https://citizenlab.ca/2023/08/vulnerabilities-in-sogou-keyboard-encryption/