Sogou Keyboard hibák
A Citizen Lab, a Torontói Egyetemhez kapcsolódó, technológiára és biztonságra összpontosító kutatócsoport jelentése feltárta, hogy a Sogou, az egyik legnépszerűbb kínai billentyűzet-alkalmazás hatalmas biztonsági rést rejtett.
A Tencent Sogou beviteli módszerét több mint 450 millió aktív felhasználó használja Kínában. A szoftver Windows, Android és iOS verzióiban is nyugtalanító sérülékenységeket azonosítottak a Sogou Input Method egyedi tervezésű „EncryptWall” titkosítási rendszerében és az érzékeny adatok titkosításában. Az érzékeny adatokat, például a felhasználók billentyűleütéseit tartalmazó hálózati átviteleket a hálózati lehallgató képes megfejteni, így kiderül, hogy a felhasználók mit gépelnek be gépelés közben.
A Sogou Input Method mindegyik verziója titkosítja az adatokat egy titkosítási rendszer segítségével, amelyet belsőleg „EncryptWall” titkosítási rendszernek neveznek. A Sogou Input Method Windows és Android verziói sérülékenységet tartalmaznak ebben a titkosítási rendszerben, közte a CBC padding oracle támadással szembeni sebezhetőséget. Az Android verzió esetén a forgalom titkosítására használt szimmetrikus titkosítási kulcsok második felét is vissza tudták állítani. Találtak olyan sebezhetőséget is, amely az iOS-verzióban implementált titkosítást érinti, de jelenleg nincs tudomásuk arról, hogy milyen módszerekkel lehetne kihasználni ezeket a biztonsági réseket.