SVE-2023-1908(CVE-2023-42579): Improper usage of insecure protocol in SogouSDK of Chinese Samsung Keyboard
Severity: Moderate
Resolved version: 5.3.70.1 in Android 11, 5.4.60.49, 5.4.85.5, 5.5.00.58 in Android 12, and 5.6.00.52, 5.6.10.42, 5.7.00.45 in Android 13
Reported on: October 17, 2023
Description: Improper usage of insecure protocol (i.e. HTTP) in SogouSDK of Chinese Samsung Keyboard prior to versions 5.3.70.1 in Android 11, 5.4.60.49, 5.4.85.5, 5.5.00.58 in Android 12, and 5.6.00.52, 5.6.10.42, 5.7.00.45 in Android 13 allows adjacent attackers to access keystroke data using Man-in-the-Middle attack.
The patch change the insecure protocol (i.e. HTTP) to secure protocol (i.e. HTTPS)
Acknowledgement: Citizen Lab
avd.aliyun.com/detail?id=AVD-2023-42579

security.samsungmobile.com/serviceWeb.smsb?year=2023&month=12

国行自带的默认三星输入法因为使用了某国产厂商提供的引擎。输入信息用明文 http 传输至该厂服务器。

就不加关键词了,省的引来拥趸护主。

www.bilibili.com/video/BV1KK4y1B7Nr这个?

对。少贴了这个链接。

相关链接放上:微信输入法已经与微信共享存储容器,断网无用 hesudu.com/t/994590#reply42 你这个是流量号,还有个原发现者的视频已经消失了

刚确认了一下,详尽的测试视频已经确认消失了。内容大概是传输到一个个人名字命名的域名上,且为明文传输。

我昨天也看到了,还是很离谱的。小米自带的定制版搜狗输入法,有个隐私模式,不知道是不是真的有效果,反正我昨天看完视频我就开了

没用。实测很多不相关操作会导致“隐私模式”实际关闭并且可联网但是显示开启。

前两天看 b 站视频刷到了,三星键盘从 s9 时代用到现在,看现在版本是 5.6.1.42 ,漏洞应该是修复了,所以说现在输入的信息还会上传么?还是单纯的从明文 http 上传变成了 https 加密上传?

会。所有 ime 基本都会。

所以用 gboard 啊,自带墙

这个早就被爆出来了 前阵子就看到了

加不加密输入法都一样卖你广告 id ,不要指望厂家良心来保护隐私,尤其国内厂家,自己控制好 app 权限

只能用 gboard 还能怎么办,linux 上的企鹅输入法也有安卓版,但用了感觉不好用

我不登录,sogou 知道我是谁不

在广告商眼里你只是一个数据片段。你是谁不重要

嗯嗯, 那我的裸照 sogou 读去了也没啥,反正没人认识。

怎么复现这个情况,有做安全相关的哥们知道不

看完视频应该应该换 Rime 了