信息化觀察網(wǎng)

本文來自微信公眾號“嘶吼專業(yè)版”，作者/ang010ela。

搜狗拼音輸入法加密系統(tǒng)爆安全漏洞可暴露用戶輸入。

搜狗輸入法是國內(nèi)排名第一的輸入法，有超過4.55億月活用戶，支持Windows、安卓、iOS、Linux等系統(tǒng)。

加拿大多倫多大學(xué)Citizen Lab研究人員發(fā)現(xiàn)搜狗輸入法使用的加密算法存在漏洞，惡意攻擊者可解密用戶的輸入信息。漏洞影響Windows、安卓和iOS平臺。

漏洞產(chǎn)生的根源是搜狗定制的加密系統(tǒng)——EncryptWall。該系統(tǒng)是敏感流量到未加密的搜狗HTTP API終端的安全通道，通過明文HTTP POST請求中的加密字段來實(shí)現(xiàn)。研究人員分析發(fā)現(xiàn)EncryptWall系統(tǒng)易受到CBC Padding oracle攻擊，這是一種選擇密文攻擊，影響使用CBC模式和PKCS#7填充的分組加密。網(wǎng)絡(luò)監(jiān)聽者利用該攻擊可以在不知道加密密鑰的情況下恢復(fù)加密的網(wǎng)絡(luò)傳輸?shù)拿魑?，恢?fù)包括用戶輸入在內(nèi)的敏感信息明文。

圖恢復(fù)的明文輸入示例

該漏洞并不僅僅影響國內(nèi)用戶，根據(jù)SimilarWeb網(wǎng)站的統(tǒng)計(jì)數(shù)據(jù)，shurufa.sogou[.]com的訪問用戶除中國大陸外，還包括中國臺灣、中國香港、美國、日本等地區(qū)。

研究人員稱修復(fù)方式非常簡單，只需要使用TLS這類加密實(shí)現(xiàn)即可。搜狗已于2023年7月20日修復(fù)了該漏洞，建議Windows、安卓和iOS用戶更新到Windows 13.7、安卓11.26和iOS 11.25及以上版本。

完整技術(shù)分析參見：https://citizenlab.ca/2023/08/vulnerabilities-in-sogou-keyboard-encryption/

參考及來源：https://thehackernews.com/2023/08/encryption-flaws-in-popular-chinese.html