以下是题为《“请不要公开”:搜狗键盘加密漏洞导致按键被网络窃听》的报告中主要发现的中文译版。请在此处阅读完整报告。
主要发现
- 我们分析了腾讯的搜狗输入法,该输入法的月活跃用户超过 4.5 亿,是中国最受欢迎的中文输入法。
- 在分析该软件的 Windows、Android 和 iOS 版本后,我们发现搜狗输入法定制设计的“EncryptWall”加密系统及其对敏感数据的加密方式存有漏洞,这种情况令人担忧。
- 我们发现,包含用户按键等敏感数据的网络传输可能被网络窃听者破译,从而泄露用户在敲击键盘时所输入的内容。
- 我们向搜狗开发人员披露了这些漏洞,于是他们在 2023 年 7 月 20 日发布了相关软件的修复版本(Windows 13.7 版、Android 11.26 版和 iOS 11.25 版)。
- 这些发现突显了中国的软件开发人员使用 TLS 等受到良好支持的加密实现方式,而不要试图自行定制设计加密实现方式的重要性。
翻译说明:这是英文原始报告的非正式译文。非正式译文可能有不准确之处。此翻译的目的只是提供对我们研究的基本理解。如有差异或歧义,应以本报告的英文版为准。