搜狗拼音输入法加密漏洞暴露用户输入

发布时间：2025-12-07 19:17:16 作者：玩站小弟

搜狗拼音输入法加密系统爆安全漏洞可暴露用户输入。搜狗输入法是国内排名第一的输入法，有超过4.55亿月活用户，支持Windows、安卓、iOS、Linux等系统。搜狗拼音输入法加密漏洞暴露用户输入加拿大。

搜狗拼音输入法加密系统爆安全漏洞可暴露用户输入。搜狗输入

搜狗输入法是拼音国内排名第一的输入法，有超过4.55亿月活用户，法加支持Windows、密漏安卓、洞暴iOS、露用Linux等系统。户输

搜狗拼音输入法加密漏洞暴露用户输入

加拿大多伦多大学Citizen Lab研究人员发现搜狗输入法使用的源码下载搜狗输入加密算法存在漏洞，恶意攻击者可解密用户的拼音输入信息。漏洞影响Windows、法加安卓和iOS平台。密漏

漏洞产生的洞暴根源是搜狗定制的加密系统——EncryptWall 。免费模板该系统是露用敏感流量到未加密的搜狗HTTP API终端的安全通道，通过明文HTTP POST请求中的户输加密字段来实现。研究人员分析发现EncryptWall系统易受到CBC Padding oracle攻击，搜狗输入这是一种选择密文攻击，源码库影响使用CBC模式和PKCS#7 填充的分组加密。网络监听者利用该攻击可以在不知道加密密钥的情况下恢复加密的网络传输的明文，恢复包括用户输入在内的敏感信息明文。

图恢复的服务器租用明文输入示例

该漏洞并不仅仅影响国内用户，根据SimilarWeb网站的统计数据，shurufa.sogou[.]com的访问用户除中国大陆外，还包括中国台湾、中国香港、美国、日本等地区。亿华云

研究人员称修复方式非常简单，只需要使用TLS这类加密实现即可。搜狗已于2023年7月20日修复了该漏洞，建议Windows、安卓和iOS用户更新到Windows 13.7、安卓11.26和iOS 11.25及以上版本。

完整技术分析参见：https://citizenlab.ca/2023/08/vulnerabilities-in-sogou-keyboard-encryption/

本文翻译自：https://thehackernews.com/2023/08/encryption-flaws-in-popular-chinese.html如若转载，请注明原文地址

Tag：

黑客再度盯上LinkedIn，众多用户账号被盗
据网络安全供应商Cyberint的研究团队发现，近期LinkedIn 正成为一波黑客攻击的目标，许多帐户出于安全原因被锁定或劫持。Cyberint发现，最近几周，已有多位LinkedIn用户表示自己的
2025-12-07
保护用户PII数据的八项数据匿名化技术
在当今数据驱动的市场中，数据为企业带来了更多的力量和机会。但正所谓“权力越大，责任越大。”随着越来越多的个人信息被组织收集和分析，保护个人隐私和防止滥用或未经授权访问个人数据的需求也随之而来。根据欧华
2025-12-07
2023 年应该注意的十种网络攻击类型
什么是网络攻击？在讨论不同类型的网络攻击之前，我们将首先引导了解网络攻击。当第三方未经授权访问系统/网络时，我们将其称为网络攻击。进行网络攻击的人被称为黑客/攻击者。网络攻击有几个负面影响。进行攻击
2025-12-07
谁应该为家庭网络安全负责?
要点：随着消费者使用更多联网设备，其中许多无法运行网络安全软件，家庭网络每年都变得越来越难以保护。保护整个网络免受各种威胁需要广泛的安全措施组合，这对非技术消费者来说可能是一个挑战。设备制造商对消费者
2025-12-07
未来五年，网络在线支付诈骗造成的损失将高达3430亿美元
近期，知名市场研究机构Juniper Research发布了一项新的研究，该研究表明，未来五年，全球在线支付诈骗造成的总损失将超过3430亿美元，其中造成数据大幅上涨的主要原因在于欺诈者在账户接管欺诈
2025-12-07
2023年的五大网络安全趋势
2023年的网络安全前景如何?整体格局中包括我们熟悉的和新兴趋势的加速，这意味着企业应该准备好面对一个不断变化的环境，其中风险是固有的。在当今的网络环境下，攻击者要想抓住任何一个漏洞都是完全有可能的。
2025-12-07