“请不要公开” 搜狗键盘加密漏洞导致按键被网络窃听

主要发现

• 我们分析了腾讯的搜狗输入法，该输入法的月活跃用户超过 4.5 亿，是中国最受欢迎的中文输入法。
• 在分析该软件的 Windows、Android 和 iOS 版本后，我们发现搜狗输入法定制设计的“EncryptWall”加密系统及其对敏感数据的加密方式存有漏洞，这种情况令人担忧。
• 我们发现，包含用户按键等敏感数据的网络传输可能被网络窃听者破译，从而泄露用户在敲击键盘时所输入的内容。
• 我们向搜狗开发人员披露了这些漏洞，于是他们在 2023 年 7 月 20 日发布了相关软件的修复版本（Windows 13.7 版、Android 11.26 版和 iOS 11.25 版）。
• 这些发现突显了中国的软件开发人员使用 TLS 等受到良好支持的加密实现方式，而不要试图自行定制设计加密实现方式的重要性。

翻译说明：这是英文原始报告的非正式译文。非正式译文可能有不准确之处。此翻译的目的只是提供对我们研究的基本理解。如有差异或歧义，应以本报告的英文版为准。