請求研究人員暫時不要公開漏洞等待修複。從而獲得用戶輸入的所有內容。這個修複方式不夠。騰訊發布搜狗輸入法新版本算是徹底解決了問題,iOS 版為 11.25 版。日前有安全研究團隊發現搜狗輸入法仍然存在安全問題,騰訊修改服務器在出現錯誤時無條件返回 HTTP 400 錯誤代碼,安全性相對明文協議傳輸來說稍微好了一些,
7 年過去了,但安全性可以大幅度提升。
建議使用搜狗輸入法的用戶升級搜狗輸入法最新版以修複漏洞,
搜狗輸入法的這個加密係統存在名為 CBC padding oracle 攻擊的漏洞,
到 7 月 20 日,之後又回郵件確認漏洞是有效的,
其中 Windows 版為 13.7 版,也就是解密為明文,攻擊者利用該漏洞可以恢複加密網絡傳輸的內容,但這個加密牆存在安全漏洞。Android 版為 11.26 版,包括 Windows 版、毫無隱私可言。禁用後會導致雲輸入功能失效,但重點是用戶輸入的內容依然會被上傳,搜狗輸入法內部使用名為 EncryptWall (加密牆) 的加密係統對數據進行加密,由於是明文傳輸因此很容易被監聽,當然如果可以的話,Android 版和 iOS 版的搜狗輸入法都存在缺陷,
接著騰訊對漏洞進行了緩解,即便用戶退出搜狗輸入法的用戶體驗計劃也無濟於事。最好直接禁用搜狗輸入法的聯網功能,
之後搜狗輸入法改進了連接采用 HTTPS 加密協議傳輸內容,用戶輸入的內容會被以明文協議的方式上傳到百度和搜狗的服務器,在收到安全通報後騰訊先是表示這個 “漏洞” 沒問題,
2016 年 5 月微博網友 @蒸米 spark 通過網絡數據分析工具 Charles 發現百度輸入法和搜狗輸入法都會記錄用戶輸入的每一個內容,
