搜狗输入法又开始上传用户个人信息啦？

xeseed

https://web3defi.org/d/301

citizenlab 公民实验室发现了腾讯的搜狗输入法的加密安全漏洞，并首先向该公司披露。但腾讯无法回复公民实验室的电子邮件，因为后者的域名已被中国防火墙封锁。interesting
旧版本存在漏洞 过程有被拦截的风险（7.20后版本已修复）


记得以前好像也有过一波？

那么win10自带的输入法会么？ctfmon是输入法联网吧？我用火绒给禁了

两个路人

看来只有死球了，并且还在名单上的才是最好的。

noarch

两个路人 发表于 2023-8-18 10:37
看来只有死球了，并且还在名单上的才是最好的。

什么名单，细说

nexus1

我选择谷歌输入法

Nanachi

惊讶的点究竟是在“上传用户个人信息”还是“上传的信息加密不完全会被第三方解密”？

不过原贴居然相信新闻一转GFW的私货，倒也很符合我对“加密货币”“区块链”“WEB3”主要鼓吹群体的想象

但腾讯无法回复公民实验室的电子邮件，因为后者的域名已被中国防火墙封锁。

-----
编辑：按原新闻陈列出来的时间线， disclosure@citizenlab.ca 确实没收到来自腾讯的电子邮件，特意编辑澄清一下

Orianna

大厂软件哪个不搞这些东西，除非没有联网功能

我是默认会被上传还是去用的，不上传的话咋优化词库

mhss

Nanachi 发表于 2023-8-18 14:12
惊讶的点究竟是在“上传用户个人信息”还是“上传的信息加密不完全会被第三方解密”？

不过原贴居然相信新 ...

我也觉得这条额外“私货”异常弱智，仿佛一般人能动动脑做到的事腾讯那么大一个公司不知道方法和渠道

dffgf

In the present case, Sogou Input Method, an app with over 450 million users, failed to properly secure the transmission of sensitive data, including the very keypresses which its users were typing, allowing such data to be recovered by any network eavesdropper.

只能说这点确实很戳W3的G点

JetBrains

Orianna 发表于 2023-8-18 14:20
大厂软件哪个不搞这些东西，除非没有联网功能

我是默认会被上传还是去用的，不上传的话咋优化词库[ ...

单向的人工智能词库比如 GBoard，别的我真不敢联网，导入导出自己的词库用得了

noarch

Nanachi 发表于 2023-8-18 14:12
惊讶的点究竟是在“上传用户个人信息”还是“上传的信息加密不完全会被第三方解密”？  不过原贴居然相信新 ...

腾讯这种级别不是该有企业专线吗，这私货有点

heroboy

sogou不是sohu的吗。

和菜头

heroboy 发表于 2023-8-18 15:59
sogou不是sohu的吗。

已经是腾讯的全资子公司了

shinjiikari

应该说不收集才是新闻，反正水浅王八多，（划掉）你不用有的是人用（划掉）

bakausagi

只用这个

overmindoyj

原来搜狗是腾讯的吗，我还以为是搜狐的呢。腾讯不是有qq输入法吗

lemuever17

overmindoyj 发表于 2023-8-18 16:27
原来搜狗是腾讯的吗，我还以为是搜狐的呢。腾讯不是有qq输入法吗

QQ输入法22年以后就没更新了

— from samsung SM-S918U, Android 13 of S1 Next Goose v2.5.2-play

dangoron

所有联网的输入法都不可靠，要安全不如自己维护一个自用的本地词库

gnihton314

noarch 发表于 2023-8-18 14:43
腾讯这种级别不是该有企业专线吗，这私货有点

https://citizenlab.ca/2023/08/vu ... eyboard-encryption/
腾讯确实没能把邮件发给他们

谎称

7.20是什么时候的版本？

现在不都更新到13.7了吗？


我看了一下官网，7.20是14年发布的。。。

gnihton314

顺便这不是在上传用户个人信息，是在上传用户输入的字符实现云词库，智能联想的功能，还有包括图片表情，输入时搜索这些功能都是要联网才能实现的

Mr_NaHCO3

早不用了，以前到618和1111就会右下弹窗，排查发现是搜狗在搞事，现在只用微软自带的输入法

Nanachi

gnihton314 发表于 2023-8-18 16:57
https://citizenlab.ca/2023/08/vulnerabilities-in-sogou-keyboard-encryption/
腾讯确实没能把邮件发给 ...

时间线：

2023-05-31
我们联系了IMETS@tencent.com

2023-06-16
我们通过网页入口联系了Tencent Security Response Centre (TSRC)

2023-06-25
我们收到了TSRC的网页回复
“感谢您对腾讯安全的关注。这个问题不存在低安全风险或低安全风险。我们期待您下一次更精彩的报道。”

8小时后
我们收到了TSRC的网页回复
“对不起，我之前的回复是错误的，我们正在处理这个漏洞，请不要公开，非常感谢你的报告。”

2023-06-26
我们通过网页入口对TSRC发送以下信息
“感谢您的更新。我们将在 2023 年 7 月 31 日之后公开披露该漏洞。”

2023-06-28
我们收到了TSRC的网页回复
“非常感谢您的报告，维修计划和维修时间，我们已通过电子邮件回复给 disclosure@citizenlab.ca。”

我们通过网页入口对TSRC发送以下信息
“我们没有收到该地址的电子邮件。但是，我们注意到，我们的域名（citizenlab.ca）可能无法从中国访问，因此来自中国的电子邮件可能无法送达。您能否将您发送到 disclosure@citizenlab.ca 的电子邮件副本发送到我的另一个电子邮件地址 [redacted]@utoronto.ca ？我相信将来自中国的电子邮件发送到这个 utoronto.ca 地址应该没有问题。谢谢。”

2023-06-29
我们收到了TSRC的网页回复
“我们发送的电子邮件是 security@tencent.com，主题行是： 回复搜狗拼音输入法漏洞,可能被列为垃圾邮件？”

我们通过网页入口对TSRC发送以下信息
“遗憾的是，我们没有在该地址收到过此类邮件，甚至在我们的垃圾邮件文件夹中也没有。您能否尝试向我的另一个邮箱地址 [redacted]@utoronto.ca 发送一份邮件副本？谢谢。”

2023-07-04
我们收到了TSRC的网页回复
“您可以使用 disclosure@citizenlab.ca 向 security@tencent.com 发送未经请求的电子邮件吗？然后我会将修复细节发送到 [redacted]@utoronto.ca.”

我们通过网页入口对TSRC发送以下信息
“是的，我们已经发送了这样一封电子邮件，正在等待您的回复。”

我们通过 [redacted]@utoronto.ca 电子邮件地址收到了回复。在邮件回复中，搜狗输入法开发人员概述了部分缓解措施，在邮件发出之日，他们已经部署了这些措施，并提出了在 2023 年 7 月 31 日之前将所有平台迁移到使用 TLS 加密的时间表。

2023-07-18
我们发现，搜狗输入法开发人员已经发布了各个平台的应用程序版本，他们在之前的通信中已经确认这些版本可以解决我们发现的问题。我们发现 Windows 和 iOS 版本解决了我们报告的问题，但 Android 版本却没有。

我们通过网页入口对TSRC发送以下信息
“又见面了。在您发送给我们的电子邮件中，您表示将升级 11.25 版 Android 应用程序，以便使用 HTTPS 发送 EncryptWall 请求。我们分析了 11.25 版 (SogouInput_11.25_android_sweb.apk)，发现它仍未使用 HTTPS 传输所有 EncryptWall 请求，包括我们在披露中确认的请求。11.25 版是否仍是应包含这些修复的 Android 应用程序版本，还是将在未来的版本中进行修复？”

2023-07-20
我们发现搜狗输入法开发人员发布了 11.26 版 Android 应用程序。我们发现该版本解决了我们报告的所有问题。

2023-07-21
我们收到了TSRC的网页回复
“漏洞已修复，请查看并检查是否仍然存在。如果已修复，请点击‘已修复’；如果尚未修复，请点击‘未修复’。”
我们点击了“已修复”。

2023-07-21
我们收到了TSRC的网页回复
“感谢您的反馈。我们将在内部进行研究。”

2023-07-24
我们收到了TSRC的网页回复
“非常感谢您的反馈，我们最新修复的版本是 11.26（SogouInput_11.26_android_sweb.apk，您可以从我们的官方网站下载：https://shurufa.sogou.com/）。如果您还有其他问题，请告诉我们。谢谢。”

2023-07-27
我们通过 [redacted]@utoronto.ca 电子邮件地址收到了附件中的电子邮件。在邮件中，搜狗输入法开发人员向我们提供了包含修复程序的版本，并询问我们公开披露的 “确切时间、网站和具体内容”。

我们从[redacted]@utoronto.ca 发送了邮件回复
“我们可以确认你们已经修复了我们报告的漏洞。在 2023 年 7 月 31 日之前，我们不会公开披露这些漏洞。我们将在一份报告中公布有关安全漏洞的详细信息，该报告将在我们的网站上公布：https://citizenlab.ca/ 。”

2023-07-29
我们通过 [redacted]@utoronto.ca 电子邮件地址收到了附件中的电子邮件。在邮件中，搜狗输入法声明了他们对隐私和安全的承诺，解释了他们开发 EncryptWall 系统的初衷，并提醒我们他们正在迅速解决所报告的漏洞。

谎称

Mr_NaHCO3 发表于 2023-8-18 17:23
早不用了，以前到618和1111就会右下弹窗，排查发现是搜狗在搞事，现在只用微软自带的输入法 ...

搜狗可能从良了。。

这一年我用来下来，除了部分功能臃肿之外，广告倒是没怎么见过。。

ambivalence

早八百年就禁止它联网了

失落之翼

输入法这种基本都禁止联网，说实话个人打字不急，不需要额外的联想库

mhss

Mr_NaHCO3 发表于 2023-8-18 17:23
早不用了，以前到618和1111就会右下弹窗，排查发现是搜狗在搞事，现在只用微软自带的输入法 ...

搜狗PC版现在除了臃肿外，已经没有可见广告了，安卓版据说有收费皮肤推荐广告。

b0207191

现在支持手机和电脑共用一个个人词典的输入法有哪些？

比如电脑上经常输入一个词语，手机上输入词语首字母会跳出来

scikirbypoke

https://github.com/iDvel/rime-ice

M乔梦

说起来我最近给笔记本重装了win11，发现自带的微软输入法都能联网联想词了

xeseed

失落之翼 发表于 2023-8-18 17:46
输入法这种基本都禁止联网，说实话个人打字不急，不需要额外的联想库 ...

win10的禁哪个exe

xeseed

M乔梦 发表于 2023-8-19 07:01
说起来我最近给笔记本重装了win11，发现自带的微软输入法都能联网联想词了 ...

能关么？

M乔梦

xeseed 发表于 2023-8-19 09:40
能关么？

能

xeseed

M乔梦 发表于 2023-8-19 20:45
能

win10是不是这个？|

M乔梦

xeseed 发表于 2023-8-20 11:18
win10是不是这个？|

不是同一个东西，这个云联想功能是win11的六月份版本更新的新功能。你这个是在本地的词典里进行检索联想，云这个是通过bing搜索进行联想。
https://support.microsoft.com/zh ... sVersion=Windows_10