2016 年 5 月微博網(wǎng)友 @蒸米 spark 通過網(wǎng)絡(luò)數(shù)據(jù)分析工具 Charles?發(fā)現(xiàn)百度輸入法和搜狗輸入法都會記錄用戶輸入的每一個內(nèi)容，用戶輸入的內(nèi)容會被以明文協(xié)議的方式上傳到百度和搜狗的服務(wù)器，由于是明文傳輸因此很容易被監(jiān)聽，毫無隱私可言。

之后搜狗輸入法改進(jìn)了連接采用 HTTPS 加密協(xié)議傳輸內(nèi)容，安全性相對明文協(xié)議傳輸來說稍微好了一些，但重點(diǎn)是用戶輸入的內(nèi)容依然會被上傳，即便用戶退出搜狗輸入法的用戶體驗(yàn)計劃也無濟(jì)于事。

7 年過去了，日前有安全研究團(tuán)隊(duì)發(fā)現(xiàn)搜狗輸入法仍然存在安全問題，搜狗輸入法內(nèi)部使用名為 EncryptWall (加密墻) 的加密系統(tǒng)對數(shù)據(jù)進(jìn)行加密，但這個加密墻存在安全漏洞。

搜狗輸入法的這個加密系統(tǒng)存在名為 CBC padding?oracle 攻擊的漏洞，攻擊者利用該漏洞可以恢復(fù)加密網(wǎng)絡(luò)傳輸?shù)膬?nèi)容，也就是解密為明文，從而獲得用戶輸入的所有內(nèi)容。

包括 Windows 版、Android 版和 iOS 版的搜狗輸入法都存在缺陷，在收到安全通報后騰訊先是表示這個 “漏洞” 沒問題，之后又回郵件確認(rèn)漏洞是有效的，請求研究人員暫時不要公開漏洞等待修復(fù)。

接著騰訊對漏洞進(jìn)行了緩解，騰訊修改服務(wù)器在出現(xiàn)錯誤時無條件返回 HTTP 400 錯誤代碼，這個修復(fù)方式不夠。

到 7 月 20 日，騰訊發(fā)布搜狗輸入法新版本算是徹底解決了問題，其中 Windows 版為 13.7 版，Android 版為 11.26 版，iOS 版為 11.25 版。

建議使用搜狗輸入法的用戶升級搜狗輸入法最新版以修復(fù)漏洞，當(dāng)然如果可以的話，最好直接禁用搜狗輸入法的聯(lián)網(wǎng)功能，禁用后會導(dǎo)致云輸入功能失效，但安全性可以大幅度提升。