蓝点网
·
7年后搜狗输入法依然存在严重问题 上传用户输入内容且加密系统可被监听
💡
原文中文,约800字,阅读约需2分钟。
📝
内容提要
2016年5月,蒸米发现百度和搜狗输入法存在隐私保护问题,搜狗输入法的加密系统也存在漏洞。腾讯发布了新版本的搜狗输入法来解决问题,建议用户升级最新版或禁用联网功能以提升安全性。
🎯
关键要点
- 2016年5月,网友@蒸米发现百度和搜狗输入法存在隐私保护问题,用户输入内容以明文上传。
- 搜狗输入法改进为HTTPS加密协议,但用户输入内容仍被上传,退出用户体验计划无效。
- 安全研究团队发现搜狗输入法的EncryptWall加密系统存在CBC padding oracle攻击漏洞。
- 该漏洞允许攻击者恢复加密内容为明文,获取用户输入的所有内容。
- Windows、Android和iOS版的搜狗输入法均存在缺陷,腾讯最初否认漏洞,后确认有效。
- 腾讯对漏洞进行了缓解,但修复方式不够完善。
- 7月20日,腾讯发布新版本搜狗输入法,彻底解决了安全问题。
- 建议用户升级到最新版,或禁用联网功能以提升安全性。
➡️
