搜狗输入法曝加密系统漏洞（已修复），黑客可窃取用户输入的内容

发布时间：2025-12-07 14:37:37 作者：玩站小弟

近期，来自加拿大多伦多大学公民实验室的研究人员在国内热门输入法——搜狗输入法的加密系统中发现了漏洞，能允许网络监听者破译用户的输入内容。目前该漏洞已得到修复。研究人员发现漏洞的软件版本涉及三大主流系统。

近期，搜狗输入输入来自加拿大多伦多大学公民实验室的法曝复黑研究人员在国内热门输入法——搜狗输入法的加密系统中发现了漏洞，能允许网络监听者破译用户的加密输入内容。目前该漏洞已得到修复。系统

研究人员发现漏洞的漏洞软件版本涉及三大主流系统，分别是已修用户Windows 13.4版本、源码库Android 11.20版本和 iOS 11.21版本，搜狗输入输入其内部定制的法曝复黑EncryptWall加密系统在Windows和Android系统中存在CBC 密文填塞（padding oracle）攻击漏洞，能让网络监听者恢复加密网络传输的加密明文，从而泄露敏感信息。系统在iOS中虽然发现了漏洞，漏洞但并不清楚具体的已修用户利用方式。

恢复的服务器租用搜狗输入输入数据示例摘录，第 11 行包含键入的法曝复黑文本

EncryptWall加密系统旨在通过纯 HTTP POST 请求中的加密字段，将敏感流量安全地传输到未加密的加密搜狗 HTTP API 端点。在通过 HTTPS 发出 EncryptWall 请求的情况下，研究人员认为这些请求是安全的源码下载，但EncryptWall 请求的底层加密技术中可能存在任何缺陷。

研究人员发现，CBC 密文填塞攻击是一种早在2002年就曾出现的选择密文攻击，信息的明文可以一个字节一个字节地恢复，每个字节最多使用 256 条信息。云计算这种攻击依赖于一种称为填充预言的侧通道的存在，它可以明确地揭示接收到的密文在解密时是否被正确填充。

研究人员于今年5月31日向搜狗报告了次漏洞，最终修复版本于7月20日正式发布（Windows 13.7版本、Android 11.26版本和 iOS11.25 版本），强烈建议搜狗输入法的免费模板用户立刻升级至上述版本。

根据研究人员的报告，搜狗输入法是最受欢迎的中文输入法，占中文输入法用户的70%，每月活跃用户超过4.55 亿。

亿华云

Tag：

Mangatoon 数据泄露，超两千万账户受影响
漫画阅读平台Mangatoon遭遇数据泄露事件，一名黑客入侵Elasticsearch数据库，窃取并曝光了超2300万名用户的账户信息。Mangatoon是一个发布有iOS和Android应用版本的漫
2025-12-07
你的App每三分钟就会遭遇一次攻击
Contrast Security表示，应用层攻击已成为对手入侵和攻陷组织机构最常用且后果最严重的方法之一，这些攻击针对的是为应用程序提供动力的定制代码、API和逻辑，常常能绕过端点检测与响应(EDR
2025-12-07
技嘉A75DS3P主板的性能及可靠性分析（一款值得信赖的主板选择）
技嘉A75DS3P主板是一款性能强大且可靠的选择，具备出色的扩展性和稳定性，适合各种不同类型的计算机应用。本文将对技嘉A75DS3P主板进行深入分析，探讨其性能特点、功能优势以及应用范围，帮助读者更好
2025-12-07
非人类身份管理：网络安全的下一个前沿
现代企业网络环境极其复杂，运行着数百个应用程序和基础设施服务。这些系统需要在无人监管的情况下实现安全高效的交互，而非人类身份(NHIs)正是解决这一需求的关键。应用程序密钥、API密钥、服务账户和OA
2025-12-07
对2024年数据安全的三个预测
新的和更新的法规(如企业需要从2025年3月31日起完全遵守的PCI-数据安全标准4.0)，以及SEC更严格的审查，给管理企业的安全、风险和合规状态的治理、风险和合规团队带来了压力。归根结底，安全团队
2025-12-07
macOS Sploitlight 漏洞曝光：攻击者可窃取 Apple Intelligence 缓存数据
漏洞概述微软威胁情报部门最新披露的macOS漏洞编号CVE-2025-31199）允许攻击者绕过苹果隐私控制机制，访问包括Apple Intelligence缓存文件在内的敏感用户数据。该漏洞被命名为
2025-12-07