【2023年08月12日訊】(記者薛明珠編譯報導)加拿大多倫多大學旗下研究機構「公民實驗室」(The Citizen Lab),週三(8月9日)發布報告披露,中國騰訊搜狗輸入法,存在嚴重安全漏洞,用戶的按鍵紀錄可被網絡竊聽者解密,而且,用戶輸入的每一個字,都會被傳回中國大陸的服務器上。
公民實驗室的報告表示,騰訊公司的搜狗輸入法,每月活躍用戶超過4.55億,是中國最受歡迎的中文輸入法,佔中文輸入法用戶的70%,並有Windows、Android 和 iOS 等多個平台的版本。
公民實驗室向搜狗開發人員,報告了這些漏洞,搜狗開發人員於2023年7月20日,發布了軟件的修復版本,包括 Windows 13.7,Android版本11.26和iOS版本11.25 。
公民實驗室對三個操作系統平台上的搜狗輸入法,進行了分析;發現該應用的加密系統,存在令人擔憂的漏洞,用戶鍵入的按鍵等敏感數據,可被網絡竊聽者破譯;而且,除中國大陸的用戶外,美國用戶超過3.3%,台灣接近1.8%,日本超過1.5%。
公民實驗室的報告還說,即使搜狗解決了報告提及的漏洞,但是,這款應用程序仍將用戶輸入的內容,傳回中國大陸的搜狗服務器上。
世界各地用戶鍵入的內容,都會被傳輸到中國大陸的服務器上,搜狗運營商和中共政府可以訪問這些數據。報告特別提醒道,這些服務器都是在中共政權的法律管轄下運行的,高風險的用戶應謹慎使用搜狗輸入法,因為鍵入的內容可能包括敏感問題或個人信息。
報告還強調,搜狗應用程序的問題,實際上是中國軟件的生態系統問題。研究報告表示難以想像,一款流行軟件不能提供最基本的、最佳的安全措施,來保護其敏感數據;而相關的安全技術,早在20年前就已經完善了。
報告總結說,目前搜狗的解決方案,遠遠不足以保護用戶的數據安全。需要做的是對軟件開發生態系統,進行整體性變革,以解決這些系統性問題。
報告還提到,在向騰訊披露漏洞後,公民實驗室研究人員發現他們的電子郵件域名(citizenlab.ca)在中國被封鎖了,以致他們難以收到騰訊公司的回郵,他們表示不能確定為什麼他們的域名遭到封鎖,但是,他們表示,這突顯了向某些轄區的公司,披露安全漏洞的意外挑戰。◇