研究機構：搜狗輸入法每個字都傳回大陸

加拿大多倫多大學旗下研究機構「公民實驗室」（The Citizen Lab）8月9日發布報告披露，中國騰訊搜狗輸入法存在嚴重安全漏洞，用戶的按鍵紀錄可被網絡竊聽者解密，而且用戶輸入的每一個字都會被傳回中國大陸的伺服器上。

公民實驗室的報告表示，騰訊公司的搜狗輸入法，每月活躍用戶超過4.55億，是中國最受歡迎的中文輸入法，佔中文輸入法用戶的70%，並有Windows、Android和iOS等多個平台的版本。

公民實驗室對3個操作系統平台上的搜狗輸入法進行了分析，發現該應用的加密系統存在令人擔憂的漏洞，用戶鍵入的按鍵等敏感數據可被網絡竊聽者破譯；而且，除中國大陸的用戶外，美國用戶超過3.3%，台灣接近1.8%，日本超過1.5%。

公民實驗室向搜狗開發人員報告了這些漏洞，搜狗開發人員於2023年7月20日發布了軟件的修復版本，包括Windows 13.7，Android版本11.26和iOS版本11.25。

公民實驗室的報告還說，即使搜狗解決了報告提及的漏洞，但是這款應用程式仍將用戶輸入的內容傳回中國大陸的搜狗伺服器上，搜狗營運商和中共政府可以訪問這些數據。報告特別提醒，這些伺服器都是在中共的法律管轄下運行的，高風險的用戶應謹慎使用搜狗輸入法，因為鍵入的內容可能包括敏感問題或個人資料。

報告說，目前搜狗的解決方案遠遠不足以保護用戶的數據安全。需要做的是對軟件開發生態系統進行整體性變革，以解決系統性問題。

報告還提到，在向騰訊披露漏洞後，公民實驗室研究人員發現他們的電子郵件域名（citizenlab.ca）在中國被封鎖了，以致他們難以收到騰訊公司的回郵，他們表示不能確定為甚麼他們的域名遭到封鎖，但是他們表示，這凸顯了向某些轄區的公司披露安全漏洞的意外挑戰。◇

------------------