搜狗输入法曝加密系统漏洞（已修复），黑客可窃取用户输入的内容

近期，来自加拿大多伦多大学公民实验室的研究人员在国内热门输入法——搜狗输入法的加密系统中发现了漏洞，能允许网络监听者破译用户的输入内容。目前该漏洞已得到修复。

研究人员发现漏洞的软件版本涉及三大主流系统，分别是Windows 13.4版本、Android 11.20版本和 iOS 11.21版本，其内部定制的EncryptWall加密系统在Windows和Android系统中存在CBC 密文填塞（padding oracle）攻击漏洞，能让网络监听者恢复加密网络传输的明文，从而泄露敏感信息。在iOS中虽然发现了漏洞，但并不清楚具体的利用方式。

恢复的数据示例摘录，第 11 行包含键入的文本

EncryptWall加密系统旨在通过纯 HTTP POST 请求中的加密字段，将敏感流量安全地传输到未加密的搜狗 HTTP API 端点。在通过 HTTPS 发出 EncryptWall 请求的情况下，研究人员认为这些请求是安全的，但EncryptWall 请求的底层加密技术中可能存在任何缺陷。研究人员发现，CBC 密文填塞攻击是一种早在2002年就曾出现的选择密文攻击，信息的明文可以一个字节一个字节地恢复，每个字节最多使用 256 条信息。这种攻击依赖于一种称为填充预言的侧通道的存在，它可以明确地揭示接收到的密文在解密时是否被正确填充。研究人员于今年5月31日向搜狗报告了次漏洞，最终修复版本于7月20日正式发布（Windows 13.7版本 、Android 11.26版本  和 iOS11.25 版本 ），强烈建议搜狗输入法的用户立刻升级至上述版本。根据研究人员的报告，搜狗输入法是最受欢迎的中文输入法，占中文输入法用户的70%，每月活跃用户超过4.55 亿。

警惕！有人用“猫”包装来电号码！

大家都知道

“+”或“00”开头的境外来电

诈骗风险系数较高

大部分人心存警惕

甚至直接设置境外电话骚扰拦截

   避免诈骗分子的骚扰！

但如果来电显示为本地固定电话呢？

近期诈骗分子使用“VOIP”设备（固话猫）把境外号码伪装成本地号码实施公检法诈骗    已有网民中招！！什么是“VOIP”？大家先看下面这张照片

图中物品是境外诈骗分子招募人员在境内寻找场所搭建固话的设备可以将境外电话号码伪装成当地电话号码这就是“VOIP”设备

“VOIP”设备一旦联通诈骗分子就能接入到公用电话网络在境外远程控制异地场所内固定电话对受害人实施诈骗
真实案例

      7月17日，滨州市民王某接到一滨州本地固定电话，后被人冒充滨州市公安局民警诈骗数万元。

      经研判，诈骗电话设备系安装在某宾馆房间。滨州警方查获设备后顺线追踪，在潍坊市抓获改装搭建诈骗电话设备的连某琦等5人。

      经讯问，5人供述至滨城区宾馆改装房间座机搭建诈骗电话拨打设备的犯罪事实。目前，5人已被滨城分局依法刑事拘留，扣押涉案设备8台，案件正在进一步侦查中。

      7月21日，滨州警方接到线索称有人冒充公检法进行诈骗，经顺线追踪，在某小区内抓获安装固定电话拨打诈骗电话嫌疑人白某。      经查，白某在网上受他人唆使在滨城区开通固定电话为电信诈骗分子提供技术支持等帮助，非法获利1000余元，已依据《反诈法》作出行政处罚。

（诈骗分子利用“VIOP”设备诈骗受害人示意图）

骗子需要雇佣他人异地架设窝点

只要斩断雇佣链条

就能起到关键的遏制作用

这些人员需警惕

01
房东、房产租赁中介、宾馆行业工作人员

对租房或住房客户信息应仔细核对并登记，主动询问客户住房用途，提示其切勿从事违法犯罪活动，尽到告知提醒义务；如有发现客户存在携带大量手机卡、GOIP等网络设备租房或“设备在人不在”等可疑情况，请立即向公安机关举报。

02
网络设备销售及售后工作人员、快递公司工作中如发现在同一地址或同一收货人，密集采购、安装、调试、维修GOIP等大批量网络设备的订单等可疑情况请立即向公安机关举报。03
金融系统、通信系统营业工作人员遇到在网点开办多张银行卡、电话卡，大量购买、架设GOIP设备的客户等情况要按照相关审批程序规定从严把关，遇到可疑情况请立即向公安机关举报。04
待业人员、寻求兼职人员

对网络上发布的招工信息或兼职信息仔细甄别，切勿为了一己之私或蝇头小利，参与出租出借或出售手机卡、银行卡、对公账户、营业执照、收款二维码，被犯罪分子利用，成为其实施诈骗等违法犯罪活动的帮凶。

如何防范

1.不轻信、不回拨陌生来电，遇到自称“客服”“某公司工作人员”“公检法”人员等来路不明的电话，应当拨打电话向官方渠道进行核实。

2.不要向陌生人透露自己的身份证号码、银行卡账号、手机验证码等个人信息，不要按照对方的“指导”进行操作更不能向陌生人汇款、转账，转账前一定再三核实对方账户和身份信息。

3.慎防木马病毒和钓鱼链接，不点击可疑的网站链接，谨慎扫描不明来历的二维码，谨慎连接免费的WIFI。

相关法律

使用GOIP、VOIP从事电信网络诈骗活动是犯罪行为，根据《中华人民共和国刑法》第二百八十七条之二【帮助信息网络犯罪活动罪】明知他人利用信息网络实施犯罪，为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持，或者提供广告推广、支付结算等帮助，情节严重的处三年以下有期徒刑或者拘役，并处或单处罚金。

根据《中华人民共和国反电信网络诈骗法》第六章　法律责任第三十八条　组织、策划、实施、参与电信网络诈骗活动或者为电信网络诈骗活动提供帮助，构成犯罪的，依法追究刑事责任。前款行为尚不构成犯罪的，由公安机关处十日以上十五日以下拘留；没收违法所得，处违法所得一倍以上十倍以下罚款，没有违法所得或者违法所得不足一万元的，处十万元以下罚款。

警方提醒

非法制造、买卖、提供或者

使用 “GOIP” “VOIP” 等虚拟拨号设备都是违法行为不要因为贪图小利沦为诈骗分子的帮凶同时也提醒大家来电显示不论是手机号码、境外号码，还是本地的固话号码只要让你转账的    就很有可能是诈骗分子！

文章来源 ：山东网警巡查执法

精彩推荐

乘风破浪|华盟信安线下·web渗透夏令营暨网络安全就业班招生中！

web渗透入门基础篇|充电

‍

‍

始于猎艳，终于诈骗！带你了解“约炮”APP

‍