外媒曝光搜狗输入法或涉重大隐私隐患，用户需警惕个人信息安全

论文数据来源：https://citizenlab.ca/2023/08/vulnerabilities-in-sogou-keyboard-encryption/

根据多伦多大学公民实验室的研究人员披露，中国公司搜狗输入法存在一个严重的加密漏洞。该研究团队在对搜狗输入法在三个操作系统平台上进行分析后发现，该漏洞可能导致敏感数据被网络窃听者窃取和解密。他们还使用Wireshark和mitmproxy等工具捕获和分析网络流量时发现，搜狗输入法存在上传用户输入信息的问题，甚至包括手写输入内容。

不法分子在通过特殊手段获取到用户输入信息可能会进行诈骗、盗窃等违法活动。想象一下，你正沉浸在使用手机、电脑等智能设备的便捷中，却不知不觉地成为了不法分子的目标。这些不法分子利用各种特殊手段，可能通过网络病毒、钓鱼网站等方式获取到你的用户输入信息，如密码、银行账号等，然后利用这些信息进行犯罪活动。

这种情况不仅让人感到焦虑，更让人深感自身的脆弱。我们在日常生活中可能会不经意地泄露一些个人信息，比如在社交媒体上分享生活点滴，或者在不安全的网络环境下输入密码等。这些看似微不足道的行为，却可能成为不法分子获取信息的线索。

原理上，搜狗输入法的各个版本使用内部的加密系统“EncryptWall”对敏感数据进行加密。然而，研究人员发现Windows和Android版本的搜狗输入法在这一加密系统中存在漏洞，包括CBC padding oracle攻击漏洞。这种漏洞可能使网络窃听者能够还原加密的网络传输内容，从而泄露用户输入内容等敏感信息。研究人员通过利用这一漏洞成功解密了流量，进一步证明了腾讯公司旗下产品存在严重的隐私问题。

在研究人员向腾讯公司披露该漏洞后，发现电子邮件域遭到中国长城防火墙DNS污染屏蔽。同时，在与腾讯的交流中，该公司声称已经缓解了漏洞，但仅是通过修改服务器，使其在出现错误时无条件返回状态代码400。

需要注意的是，该漏洞可能导致搜狗输入法加密的流量被第三方劫持和获取，这也间接证实了搜狗输入法存在严重的隐私问题。

为了保护个人隐私，建议用户更换其他输入法，如果仍有相同的隐私担忧，可以考虑使用手机本地键盘等替代方案。