【大纪元2023年08月15日】(大纪元记者Andrew Chen报导/李平编译)上周三(8月9日),多伦多大学公民实验室(Citizen Lab)最新报告揭示一款中国输入法——腾讯搜狗输入法(Sogou)存在重大安全隐患。
搜狗输入法是使用最广泛的中文输入法,每月逾5亿活跃用户,该中文输入法市场占比高达70%,与Windows、Android及iOS等多个平台均兼容。报告对搜狗输入法在这几大平台上的漏洞均进行了分析和研究。
用户输入内容仍继续传至中国大陆
研究发现,搜狗输入法用户键盘输入记录极易被在线窃取解密,用户输入内容会实时传输到中国大陆服务器。研究人员指出,搜狗输入法应用未能妥善保护用户按键等敏感数据传输,使得任何网络窃取者都可轻易恢复这类数据。
研究人员还指出,这一重大安全漏洞,不仅影响中国用户,还影响其它国家用户。搜狗市场调研估计,这款应用网站全球各国用户都会访问,其中近3.3%用户访问来自美国,1.8%来自台湾,逾1.5%来自日本。
研究人员后来与搜狗开发员进行多次交涉,搜狗方面终于承诺解决安全漏洞,公民实验室证实今年7月20日前所有平台上的搜狗安全漏洞均得到解决,但搜狗仍继续将用户输入内容传输到位于大陆的服务器,用户个人信息仍有可能落入中共当局手中,用户须当心。
腾讯乞求勿声张
公民实验室于今年5月31日将研究发现发至腾讯,要求搜狗开发员在指定时间内回复和解决问题,否则会将发现向外界公开。6月25日,实验室透露收到腾讯安全反应中心(TRRC)回复,回复称不存在他们所说的任何风险。不到24个小时后,又收到腾讯更正信息,央求研究人员勿向外界公开发现的内容。
腾讯在央求信息中说,先前回复是搞错了,目前正在解决漏洞,请不要张扬此事。
研究人员随后发现,将研究发现通知搜狗开发员后,公民实验室邮箱域名在中国被封杀,无法再接收到腾讯方面回复。也就是说,中共防火墙注入异常DNS,一方面阻止中国用户访问实验室网站,另一方面防止中国用户给实验室发邮件。
研究人员建议搜狗开发员及中国其它软件开发员使用TLS等有良好支持的加密应用,不要采用“自制”代码设计。研究人员说,安全漏洞虽解决了,但数据仍会被搜狗运营商和与其共享数据的其他任何人获取。◇
责任编辑:文芳#
