圈小蛙
据周三发布的一份报告称,每月有超过 4.55 亿人使用的一家中国科技公司的网络传输遭到了“网络窃听者”的攻击,该窃听者实时捕获了键盘输入。
人权和全球安全组织“公民实验室”(Citizen Lab)的研究人员表示,在计算机或移动设备上输入汉字的软件——搜狗输入法的加密系统被发现存在“令人不安的漏洞” 。
该报告称,研究人员的发现可能代表了该公司的产品获取用户通信的又一例证。由于来自搜狗服务的键盘输入会传输到后台服务器上,因此用户在共享敏感数据时必须谨慎。报告指出,搜狗产品也向中国境外的客户开放。
搜狗是中国科技巨头腾讯的子公司。据“公民实验室”称,这些漏洞已与搜狗开发者共享,他们修复了该软件并于上个月发布了新版本。
“虽然我们在与开发人员协调解决这些问题方面取得了一些成功,但生态系统仍然存在问题,因为我们在这里再次报告一个难以想象的受欢迎的中国开发的流行应用程序如何未能采用甚至简单的最佳实践来保护它传输的敏感数据内容。”报告称。
研究人员表示,他们花了八年时间分析、记录和披露中国应用程序中的漏洞,并警告说,任何使用搜狗输入法的人都必须意识到他们的敏感数据可能会被暴露。
安装在手机或电脑上的搜狗输入法能让用户更轻松地输入汉字。与 26 个字母的拉丁字母相比,输入数以万计的常用汉字更具挑战性,这使得输入法变得至关重要。
据“公民实验室”报告,70% 的中文输入法用户使用搜狗输入法。
报告称,即使报告中提到的漏洞现已解决,搜狗应用程序仍依赖于向搜狗服务器传输用户键盘输入的内容来运行,这表明用户今后仍需要信任这些服务器的安全性。
报告称:“本报告中概述的攻击展示了网络窃听者如何破译传输中的此类数据。” “然而,即使漏洞得到解决,搜狗的运营者以及与他们共享数据的任何人仍然可以访问这些数据。”
“公民实验室”的研究人员分析了该软件的 Windows、Android 和 iOS 版本,并检测到该公司定制设计的“加密墙”(EncryptWall)中的漏洞,揭示了其加密敏感数据的方式存在的问题。
报告称,这一发现凸显了中国软件开发商依赖TLS等经过测试的加密实现而不是自行设计的重要性。
“公民实验室”表示,美国用户占搜狗输入法用户的3%以上,台湾用户占1.8%,日本用户超过1.5%。