上周三(8月9日),多倫多大學公民實驗室(Citizen Lab)最新報告揭示一款中國輸入法——騰訊搜狗輸入法(Sogou)存在重大安全隱患。
搜狗輸入法是使用最廣泛的中文輸入法,每月逾5億活躍用戶,該中文輸入法市場佔比高達70%,與Windows、Android及iOS等多個平台均兼容。報告對搜狗輸入法在這幾大平台上的漏洞均進行了分析和研究。
用戶輸入內容仍繼續傳至中國大陸
研究發現,搜狗輸入法用戶鍵盤輸入記錄極易被在線竊取解密,用戶輸入內容會實時傳輸到中國大陸服務器。研究人員指出,搜狗輸入法應用未能妥善保護用戶按鍵等敏感數據傳輸,使得任何網絡竊取者都可輕易恢復這類數據。
研究人員還指出,這一重大安全漏洞,不僅影響中國用戶,還影響其它國家用戶。搜狗市場調研估計,這款應用網站全球各國用戶都會訪問,其中近3.3%用戶訪問來自美國,1.8%來自台灣,逾1.5%來自日本。
研究人員後來與搜狗開發員進行多次交涉,搜狗方面終於承諾解決安全漏洞,公民實驗室證實今年7月20日前所有平台上的搜狗安全漏洞均得到解決,但搜狗仍繼續將用戶輸入內容傳輸到位於大陸的服務器,用戶個人資料仍有可能落入中共當局手中,用戶須當心。
騰訊乞求勿聲張
公民實驗室於今年5月31日將研究發現發至騰訊,要求搜狗開發員在指定時間內回覆和解決問題,否則會將發現向外界公開。6月25日,實驗室透露收到騰訊安全反應中心(TRRC)回覆,回覆稱不存在他們所說的任何風險。不到24個小時後,又收到騰訊更正信息,央求研究人員勿向外界公開發現的內容。
騰訊在央求信息中說,先前回覆是搞錯了,目前正在解決漏洞,請不要張揚此事。
研究人員隨後發現,將研究發現通知搜狗開發員後,公民實驗室郵箱域名在中國被封殺,無法再接收到騰訊方面回覆。也就是說,中共防火牆注入異常DNS,一方面阻止中國用戶訪問實驗室網站,另一方面防止中國用戶給實驗室發郵件。
研究人員建議搜狗開發員及中國其它軟件開發員使用TLS等有良好支持的加密應用,不要採用「自製」代碼設計。研究人員說,安全漏洞雖解決了,但數據仍會被搜狗營運商和與其共享數據的其他任何人獲取。#
------------------
📰支持大紀元,購買日報:
https://www.epochtimeshk.org/stores
📊InfoG:
https://bit.ly/EpochTimesHK_InfoG
✒️名家專欄:
https://bit.ly/EpochTimesHK_Column
------------------
🏵️《九評》20周年
https://hk.epochtimes.com/category/專題/退黨大潮
🔔下載大紀元App 接收即時新聞通知
🍎iOS:https://bit.ly/epochhkios
🤖Android:https://bit.ly/epochhkand