本文来自微信公众号“嘶吼专业版”,作者/ang010ela。
搜狗拼音输入法加密系统爆安全漏洞可暴露用户输入。
搜狗输入法是国内排名第一的输入法,有超过4.55亿月活用户,支持Windows、安卓、iOS、Linux等系统。
加拿大多伦多大学Citizen Lab研究人员发现搜狗输入法使用的加密算法存在漏洞,恶意攻击者可解密用户的输入信息。漏洞影响Windows、安卓和iOS平台。
漏洞产生的根源是搜狗定制的加密系统——EncryptWall。该系统是敏感流量到未加密的搜狗HTTP API终端的安全通道,通过明文HTTP POST请求中的加密字段来实现。研究人员分析发现EncryptWall系统易受到CBC Padding oracle攻击,这是一种选择密文攻击,影响使用CBC模式和PKCS#7填充的分组加密。网络监听者利用该攻击可以在不知道加密密钥的情况下恢复加密的网络传输的明文,恢复包括用户输入在内的敏感信息明文。
图恢复的明文输入示例
该漏洞并不仅仅影响国内用户,根据SimilarWeb网站的统计数据,shurufa.sogou[.]com的访问用户除中国大陆外,还包括中国台湾、中国香港、美国、日本等地区。
研究人员称修复方式非常简单,只需要使用TLS这类加密实现即可。搜狗已于2023年7月20日修复了该漏洞,建议Windows、安卓和iOS用户更新到Windows 13.7、安卓11.26和iOS 11.25及以上版本。
完整技术分析参见:https://citizenlab.ca/2023/08/vulnerabilities-in-sogou-keyboard-encryption/
参考及来源:https://thehackernews.com/2023/08/encryption-flaws-in-popular-chinese.html