腾讯搜狗输入法存在加密漏洞容易暴露输入内容

加拿大多伦多大学公民实验室的研究人员分析了腾讯旗下的搜狗输入法。该输入法月活用户逾 4.5 亿，是中国最流行的中文输入法，占据了七成市场份额，讯飞排名第二，百度输入法第三。研究人员分析了搜狗输入法的 Windows、Android 和 iOS 版本，发现搜狗使用了一个自己开发的加密系统 EncryptWall 加密敏感数据，而该加密系统存在 CBC 密文填塞（Padding Oracle）漏洞，允许网络监听者获得加密网络传输的明文，包括用户输入的内容。研究人员向搜狗报告了漏洞，搜狗开发者释出了新版本修复了漏洞。该输入法的用户需要尽快升级到新版本——Windows v13.7、Android v11.26 和 iOS v11.25。