搜狗输入法存在容易暴露输入内容的漏洞

加拿大多伦多大学公民实验室的研究人员分析了腾讯旗下的搜狗输入法。该输入法月活跃用户超过 4.5 亿，是中国最受欢迎的中文输入法。

研究人员分析了搜狗输入法的 Windows、Android 和 iOS 版本，发现搜狗使用了一个自己开发的加密系统 EncryptWall 加密敏感数据，而该加密系统存在 CBC 密文填塞 (Padding Oracle) 漏洞，允许网络监听者恢复加密网络传输的明文，包括用户输入内容在内的敏感信息。

下面是对加密内容恢复后的示例：

目前搜狗开发者已经发布新版本修复漏洞。请使用该输入法的用户尽快升级到新版本：Windows v13.7、Android v11.26 和 iOS v11.25。

研究人员表示，他们发现漏洞后首先报告给了腾讯，尽管中间了经历一些波折，问题最后还是得以解决。

漏洞细节也已公开：https://citizenlab.ca/2023/08/vulnerabilities-in-sogou-keyboard-encryption/