近期，來自加拿大多倫多大學公民實驗室的研究人員在國內(nèi)熱門輸入法——搜狗輸入法的加密系統(tǒng)中發(fā)現(xiàn)了漏洞，能允許網(wǎng)絡監(jiān)聽者破譯用戶的輸入內(nèi)容。目前該漏洞已得到修復。

研究人員發(fā)現(xiàn)漏洞的軟件版本涉及三大主流系統(tǒng)，分別是Windows 13.4版本、Android 11.20版本和 iOS 11.21版本，其內(nèi)部定制的EncryptWall加密系統(tǒng)在Windows和Android系統(tǒng)中存在CBC 密文填塞（padding oracle）攻擊漏洞，能讓網(wǎng)絡監(jiān)聽者恢復加密網(wǎng)絡傳輸?shù)拿魑模瑥亩孤睹舾行畔?。在iOS中雖然發(fā)現(xiàn)了漏洞，但并不清楚具體的利用方式。

恢復的數(shù)據(jù)示例摘錄，第 11 行包含鍵入的文本

EncryptWall加密系統(tǒng)旨在通過純 HTTP POST 請求中的加密字段，將敏感流量安全地傳輸?shù)轿醇用艿乃压?HTTP API 端點。在通過 HTTPS 發(fā)出 EncryptWall 請求的情況下，研究人員認為這些請求是安全的，但EncryptWall 請求的底層加密技術中可能存在任何缺陷。

研究人員發(fā)現(xiàn)，CBC 密文填塞攻擊是一種早在2002年就曾出現(xiàn)的選擇密文攻擊，信息的明文可以一個字節(jié)一個字節(jié)地恢復，每個字節(jié)最多使用 256 條信息。這種攻擊依賴于一種稱為填充預言的側(cè)通道的存在，它可以明確地揭示接收到的密文在解密時是否被正確填充。

研究人員于今年5月31日向搜狗報告了次漏洞，最終修復版本于7月20日正式發(fā)布（Windows 13.7版本 、Android 11.26版本  和 iOS11.25 版本 ），強烈建議搜狗輸入法的用戶立刻升級至上述版本。

根據(jù)研究人員的報告，搜狗輸入法是最受歡迎的中文輸入法，占中文輸入法用戶的70%，每月活躍用戶超過4.55 億。