加拿大研究報告：搜狗輸入法存重大安全漏洞

上周三（8月9日），多倫多大學公民實驗室（Citizen Lab）最新報告揭示一款中國輸入法——騰訊搜狗輸入法（Sogou）存在重大安全隱患。

搜狗輸入法是使用最廣泛的中文輸入法，每月逾5億活躍用戶，該中文輸入法市場佔比高達70%，與Windows、Android及iOS等多個平台均兼容。報告對搜狗輸入法在這幾大平台上的漏洞均進行了分析和研究。

研究發現，搜狗輸入法用戶鍵盤輸入記錄極易被在線竊取解密，用戶輸入內容會實時傳輸到中國大陸服務器。研究人員指出，搜狗輸入法應用未能妥善保護用戶按鍵等敏感數據傳輸，使得任何網絡竊取者都可輕易恢復這類數據。

研究人員還指出，這一重大安全漏洞，不僅影響中國用戶，還影響其它國家用戶。搜狗市場調研估計，這款應用網站全球各國用戶都會訪問，其中近3.3%用戶訪問來自美國，1.8%來自台灣，逾1.5%來自日本。

研究人員後來與搜狗開發員進行多次交涉，搜狗方面終於承諾解決安全漏洞，公民實驗室證實今年7月20日前所有平台上的搜狗安全漏洞均得到解決，但搜狗仍繼續將用戶輸入內容傳輸到位於大陸的服務器，用戶個人資料仍有可能落入中共當局手中，用戶須當心。

公民實驗室於今年5月31日將研究發現發至騰訊，要求搜狗開發員在指定時間內回覆和解決問題，否則會將發現向外界公開。6月25日，實驗室透露收到騰訊安全反應中心（TRRC）回覆，回覆稱不存在他們所說的任何風險。不到24個小時後，又收到騰訊更正信息，央求研究人員勿向外界公開發現的內容。

騰訊在央求信息中說，先前回覆是搞錯了，目前正在解決漏洞，請不要張揚此事。

研究人員隨後發現，將研究發現通知搜狗開發員後，公民實驗室郵箱域名在中國被封殺，無法再接收到騰訊方面回覆。也就是說，中共防火牆注入異常DNS，一方面阻止中國用戶訪問實驗室網站，另一方面防止中國用戶給實驗室發郵件。

研究人員建議搜狗開發員及中國其它軟件開發員使用TLS等有良好支持的加密應用，不要採用「自製」代碼設計。研究人員說，安全漏洞雖解決了，但數據仍會被搜狗營運商和與其共享數據的其他任何人獲取。#

------------------

------------------