近期，來(lái)自加拿大多倫多大學(xué)公民實(shí)驗(yàn)室的研究人員在國(guó)內(nèi)熱門(mén)輸入法——搜狗輸入法的加密系統(tǒng)中發(fā)現(xiàn)了漏洞，能允許網(wǎng)絡(luò)監(jiān)聽(tīng)者破譯用戶的輸入內(nèi)容。目前該漏洞已得到修復(fù)。

研究人員發(fā)現(xiàn)漏洞的軟件版本涉及三大主流系統(tǒng)，分別是Windows 13.4版本、Android 11.20版本和 iOS 11.21版本，其內(nèi)部定制的EncryptWall加密系統(tǒng)在Windows和Android系統(tǒng)中存在CBC 密文填塞（padding oracle）攻擊漏洞，能讓網(wǎng)絡(luò)監(jiān)聽(tīng)者恢復(fù)加密網(wǎng)絡(luò)傳輸?shù)拿魑模瑥亩孤睹舾行畔?。在iOS中雖然發(fā)現(xiàn)了漏洞，但并不清楚具體的利用方式。

恢復(fù)的數(shù)據(jù)示例摘錄，第 11 行包含鍵入的文本

EncryptWall加密系統(tǒng)旨在通過(guò)純 HTTP POST 請(qǐng)求中的加密字段，將敏感流量安全地傳輸?shù)轿醇用艿乃压?HTTP API 端點(diǎn)。在通過(guò) HTTPS 發(fā)出 EncryptWall 請(qǐng)求的情況下，研究人員認(rèn)為這些請(qǐng)求是安全的，但EncryptWall 請(qǐng)求的底層加密技術(shù)中可能存在任何缺陷。

研究人員發(fā)現(xiàn)，CBC 密文填塞攻擊是一種早在2002年就曾出現(xiàn)的選擇密文攻擊，信息的明文可以一個(gè)字節(jié)一個(gè)字節(jié)地恢復(fù)，每個(gè)字節(jié)最多使用 256 條信息。這種攻擊依賴(lài)于一種稱(chēng)為填充預(yù)言的側(cè)通道的存在，它可以明確地揭示接收到的密文在解密時(shí)是否被正確填充。

研究人員于今年5月31日向搜狗報(bào)告了次漏洞，最終修復(fù)版本于7月20日正式發(fā)布（Windows 13.7版本 、Android 11.26版本  和 iOS11.25 版本 ），強(qiáng)烈建議搜狗輸入法的用戶立刻升級(jí)至上述版本。

根據(jù)研究人員的報(bào)告，搜狗輸入法是最受歡迎的中文輸入法，占中文輸入法用戶的70%，每月活躍用戶超過(guò)4.55 億。