SVE-2023-1908(CVE-2023-42579): Improper usage of insecure protocol in SogouSDK of Chinese Samsung Keyboard
Severity: Moderate Resolved version: 5.3.70.1 in Android 11, 5.4.60.49, 5.4.85.5, 5.5.00.58 in Android 12, and 5.6.00.52, 5.6.10.42, 5.7.00.45 in Android 13 Reported on: October 17, 2023 Description: Improper usage of insecure protocol (i.e. HTTP) in SogouSDK of Chinese Samsung Keyboard prior to versions 5.3.70.1 in Android 11, 5.4.60.49, 5.4.85.5, 5.5.00.58 in Android 12, and 5.6.00.52, 5.6.10.42, 5.7.00.45 in Android 13 allows adjacent attackers to access keystroke data using Man-in-the-Middle attack. The patch change the insecure protocol (i.e. HTTP) to secure protocol (i.e. HTTPS) Acknowledgement: Citizen Lab
2
Ga2en OP 国行自带的默认三星输入法因为使用了某国产厂商提供的引擎。输入信息用明文 http 传输至该厂服务器。
|
3
Ga2en OP 就不加关键词了,省的引来拥趸护主。
|
4
miaonai 308 天前 1
|
6
Ga2en OP |
8
twofox 308 天前
我昨天也看到了,还是很离谱的。
小米自带的定制版搜狗输入法,有个隐私模式,不知道是不是真的有效果,反正我昨天看完视频我就开了 |
10
monkey110 308 天前
前两天看 b 站视频刷到了,三星键盘从 s9 时代用到现在,看现在版本是 5.6.1.42 ,漏洞应该是修复了,所以说现在输入的信息还会上传么?还是单纯的从明文 http 上传变成了 https 加密上传?
|
12
serialt 308 天前
所以用 gboard 啊,自带墙
|
13
xwchaoa 308 天前
这个早就被爆出来了 前阵子就看到了
|
14
momo1pm 308 天前 via Android
加不加密输入法都一样卖你广告 id ,不要指望厂家良心来保护隐私,尤其国内厂家,自己控制好 app 权限
|
15
9H93q6EKnTVFQDRq 308 天前
只能用 gboard 还能怎么办,linux 上的企鹅输入法也有安卓版,但用了感觉不好用
|
16
hefish 308 天前
我不登录,sogou 知道我是谁不
|
19
FreeWong 307 天前
怎么复现这个情况,有做安全相关的哥们知道不
|