今天小編分享的互聯網經驗:搜狗拼音輸入法加密漏洞暴露用戶輸入,歡迎閱讀。
搜狗拼音輸入法加密系統爆安全漏洞可暴露用戶輸入。
搜狗輸入法是國内排名第一的輸入法,有超過 4.55 億月活用戶,支持 Windows、安卓、iOS、Linux 等系統。
加拿大多倫多大學 Citizen Lab 研究人員發現搜狗輸入法使用的加密算法存在漏洞,惡意攻擊者可解密用戶的輸入信息。漏洞影響 Windows、安卓和 iOS 平台。
漏洞產生的根源是搜狗定制的加密系統—— EncryptWall。該系統是敏感流量到未加密的搜狗 HTTP API 終端的安全通道,通過明文 HTTP POST 請求中的加密資料欄來實現。研究人員分析發現 EncryptWall 系統易受到 CBC Padding oracle 攻擊,這是一種選擇密文攻擊,影響使用 CBC 模式和 PKCS#7 填充的分組加密。網絡監聽者利用該攻擊可以在不知道加密密鑰的情況下恢復加密的網絡傳輸的明文,恢復包括用戶輸入在内的敏感信息明文。
圖 恢復的明文輸入示例
該漏洞并不僅僅影響國内用戶,根據 SimilarWeb 網站的統計數據,shurufa.sogou [ . ] com 的訪問用戶除中國大陸外,還包括中國台灣、中國香港、美國、日本等地區。
研究人員稱修復方式非常簡單,只需要使用 TLS 這類加密實現即可。搜狗已于 2023 年 7 月 20 日修復了該漏洞,建議 Windows、安卓和 iOS 用戶更新到 Windows 13.7、安卓 11.26 和 iOS 11.25 及以上版本。
完整技術分析參見:https://citizenlab.ca/2023/08/vulnerabilities-in-sogou-keyboard-encryption/