近期，來自加拿大多倫多大學公民實驗室的研究人員在國內熱門輸入法——搜狗輸入法的加密系統中發現了漏洞，能允許網絡監聽者破譯用戶的輸入內容。目前該漏洞已得到修復。

研究人員發現漏洞的軟件版本涉及三大主流系統，分別是Windows 13.4版本、Android 11.20版本和 iOS 11.21版本，其內部定制的EncryptWall加密系統在Windows和Android系統中存在CBC 密文填塞（padding oracle）攻擊漏洞，能讓網絡監聽者恢復加密網絡傳輸的明文，從而泄露敏感信息。在iOS中雖然發現了漏洞，但并不清楚具體的利用方式。

恢復的數據示例摘錄，第 11 行包含鍵入的文本

EncryptWall加密系統旨在通過純 HTTP POST 請求中的加密字段，將敏感流量安全地傳輸到未加密的搜狗 HTTP API 端點。在通過 HTTPS 發出 EncryptWall 請求的情況下，研究人員認為這些請求是安全的，但EncryptWall 請求的底層加密技術中可能存在任何缺陷。

研究人員發現，CBC 密文填塞攻擊是一種早在2002年就曾出現的選擇密文攻擊，信息的明文可以一個字節一個字節地恢復，每個字節最多使用 256 條信息。這種攻擊依賴于一種稱為填充預言的側通道的存在，它可以明確地揭示接收到的密文在解密時是否被正確填充。

研究人員于今年5月31日向搜狗報告了次漏洞，最終修復版本于7月20日正式發布（Windows 13.7版本 、Android 11.26版本  和 iOS11.25 版本 ），強烈建議搜狗輸入法的用戶立刻升級至上述版本。

根據研究人員的報告，搜狗輸入法是最受歡迎的中文輸入法，占中文輸入法用戶的70%，每月活躍用戶超過4.55 億。