搜狗输入法有严重漏洞

搜狗输入法有严重漏洞

2016 年 5 月微博网友 @蒸米 spark 通过网络数据分析工具 Charles 发现百度输入法和搜狗输入法都会记录用户输入的每一个内容，用户输入的内容会被以明文协议的方式上传到百度和搜狗的服务器，由于是明文传输因此很容易被监听，毫无隐私可言。

安卓端现任输入法：

https://www.f-droid.org/packages/org.fcitx.fcitx5.android/

之后搜狗输入法改进了连接采用 HTTPS 加密协议传输内容，安全性相对明文协议传输来说稍微好了一些，但重点是用户输入的内容依然会被上传，即便用户退出搜狗输入法的用户体验计划也无济于事。

7 年过去了，日前有安全研究团队发现搜狗输入法仍然存在安全问题，搜狗输入法内部使用名为 EncryptWall (加密墙) 的加密系统对数据进行加密，但这个加密墙存在安全漏洞。

搜狗输入法的这个加密系统存在名为 CBC padding oracle 攻击的漏洞，攻击者利用该漏洞可以恢复加密网络传输的内容，也就是解密为明文，从而获得用户输入的所有内容。

果然还是上传数据了。现在用哪个安全点，主要是想同步输入习惯，结果带来了中间人攻击的风险，建议挂全局代理

包括 Windows 版、Android 版和 iOS 版的搜狗输入法都存在缺陷，在收到安全通报后搜狗输入法团队先是表示这个 “漏洞” 没问题，之后又回邮件确认漏洞是有效的，请求研究人员暂时不要公开漏洞等待修复。

接着输入法团队对漏洞进行了缓解，修改服务器在出现错误时无条件返回 HTTP 400 错误代码，这个修复方式不够。

原始键盘记录发给了服务器，原文截图可以看到，还是早点放弃国产输入法吧。
对比翻了一下Gboard联邦学习的说明，写的是不会发原始文本而是发送学习成果。

到 7 月 20 日，输入法团队发布搜狗输入法新版本算是彻底解决了问题，其中 Windows 版为 13.7 版，Android 版为 11.26 版，iOS 版为 11.25 版。

建议使用搜狗输入法的用户升级搜狗输入法最新版以修复漏洞，当然如果可以的话，最好直接禁用搜狗输入法的联网功能，禁用后会导致云输入功能失效，但安全性可以大幅度提升。

省流一句：中间人攻击，建议全局代理

本质来说任何提供☁️推荐候选词的输入法都是会发送到服务器的，除非使用本地模型优化的输入法，但是本地的效果实在太差了，除非改形码

根据可信来源：
小米 OPPO 华为 腾讯全系产品
会实时监听用户数据，包括但不限于手机号，设备UUiD，应用安装列表，GPS精度位置，监听设备任何软件中的涉政 涉恐关键词 回传广东反诈中心(157.148.47.204)
所以你会接到电话。
在安卓中的运行列表：
miav-cse.avlyun.com[腾讯/安天]
a0.app.xiaomi.com[小米跟踪API]miui-fxcse.avlyun.com[腾讯/安天】api.installer.xiaomi.com[应用包扫描AP1]
其中腾讯安天最为恐怖
它基于腾讯应用中心分发机制，内嵌入所有腾讯应用宝下载的应用中。否则应用宝不会上架该应用，因此安卓系统的国产手机千疮百孔约等于监听器。
目前已知应对方案为：
方案 1

ADB模式卸载模块 同时DNS屏蔽模块对广东反诈传输157.148.47.204

方案 2 

不安装任何国内软件 采用ESIM空中卡联网

节目越来越多了！

原文始发于微信公众号（小明今天拿站了吗）：搜狗输入法有严重漏洞