▎搜狗输入法:用户数据被窃听
来自多伦多大学的公民实验室报告指出,通过分析搜狗输入法的 Windows、Android 和 iOS 版本,发现软件的定制设计的“EncryptWall”加密系统及其加密敏感数据的方式存在严重漏洞,包含敏感数据(例如包含用户击键的数据)的网络传输可以被网络窃听者破译,从而知晓用户在键入时键入的具体内容。
▎沟通时间线
实验室在5月31日向腾讯报告了此漏洞,但有趣的是,腾讯在第一次回复该漏洞时指出:“此问题不存在低或低安全风险”,而在18小时后又回复“抱歉,之前的回复有误,我们正在处理这个漏洞,请不要公开,非常感谢您的报告。”随后在7月20日的更新版本中修复了该漏洞。
研究人员在与腾讯沟通时遭遇了一些困难,原因是他们的电子邮件域(citizenlab.ca)在中国被屏蔽。他们发现电子邮件域被国家防火墙注入了异常的DNS,以响应对这个域的查询。这可能导致腾讯的邮件没有被正确地发送到citizenlab.ca的邮箱。
▎评估总结
搜狗输入法,一个拥有超过4.5亿用户的应用程序,未能正确保护传输的敏感数据,例如用户的键盘输入。这使得任何网络窃听者都可以恢复这些数据。这种漏洞本可以通过采用TLS(传输层安全)来轻易避免,而不是使用“自制”加密。
尽管现在已经解决了报道的漏洞,但搜狗应用依然依赖于将键入的内容传输到搜狗的服务器。这意味着,来自世界各地的用户的键入内容都被传输到中国大陆的服务器。这些服务器在中国政府的法律管辖之下。高风险的搜狗用户应该保持警惕,因为输入的内容可能包括敏感或个人信息。
由ChtGPT阅读文档并总结,频道 @AppDoDo
