以下是名為「『請勿公開』:搜狗拼音輸入法 (Sogou Keyboard) 加密中的漏洞使按鍵暴露於網路竊聽之風險」報告中關鍵發現的中文譯本。請按此處閱讀完整報告。
主要發現
- 我們分析了騰訊的搜狗拼音輸入法,該輸入法每月活躍使用者超過 4.5 億,是中國最受歡迎的中文輸入法。
- 我們分析了該軟體的 Windows、Android 和 iOS 版本,發現搜狗拼音輸入法自行設計的「EncryptWall」加密系統以及其加密敏感資料方式存在令人不安的漏洞。
- 我們發現,包含敏感資料(例如包含使用者擊鍵)的網路傳輸可以被網路竊聽者破譯,從而造成使用者在鍵入的內容外洩。
- 我們向搜狗開發人員告知了這些漏洞,他們於 2023 年 7 月 20 日發佈了受影響軟體的修正版本(Windows 版本 13.7、Android 版本 11.26 和 iOS 版本 11.25)。
- 這些發現表明,中國軟體開發人員應該使用妥善支援的加密實作方案(如TLS),而不是嘗試量身設計自己的加密實作方案。
翻譯備註:以上為英文原始報告的非正式翻譯。非正式翻譯可能包含不準確之處,僅作為對我們研究的基本理解之用。如果出現不一致或模糊之處,應以本報告的英文版本為準。