搜狗拼音输入法加密系统爆安全漏洞可暴露用户输入。搜狗输入

搜狗输入法是拼音国内排名第一的输入法，有超过4.55亿月活用户，法加支持Windows、密漏安卓 、洞暴iOS、露用Linux等系统。户输

搜狗拼音输入法加密漏洞暴露用户输入

加拿大多伦多大学Citizen Lab研究人员发现搜狗输入法使用的源码下载搜狗输入加密算法存在漏洞 ，恶意攻击者可解密用户的拼音输入信息 。漏洞影响Windows、法加安卓和iOS平台 。密漏

漏洞产生的洞暴根源是搜狗定制的加密系统——EncryptWall
。高防服务器该系统是露用敏感流量到未加密的搜狗HTTP API终端的安全通道，通过明文HTTP POST请求中的户输加密字段来实现。研究人员分析发现EncryptWall系统易受到CBC Padding oracle攻击  ，搜狗输入这是一种选择密文攻击 ，服务器租用影响使用CBC模式和PKCS#7 填充的分组加密。网络监听者利用该攻击可以在不知道加密密钥的情况下恢复加密的网络传输的明文 ，恢复包括用户输入在内的敏感信息明文
。

图 恢复的建站模板明文输入示例

该漏洞并不仅仅影响国内用户 ，根据SimilarWeb网站的统计数据 ，shurufa.sogou[.]com的访问用户除中国大陆外 ，还包括中国台湾、中国香港
 、美国、日本等地区 。香港云服务器

研究人员称修复方式非常简单 ，只需要使用TLS这类加密实现即可  。搜狗已于2023年7月20日修复了该漏洞 ，建议Windows、安卓和iOS用户更新到Windows 13.7 、安卓11.26和iOS 11.25及以上版本。

完整技术分析参见 ：https://citizenlab.ca/2023/08/vulnerabilities-in-sogou-keyboard-encryption/

本文翻译自 ：https://thehackernews.com/2023/08/encryption-flaws-in-popular-chinese.html如若转载，请注明原文地址