V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Ga2en
V2EX  ›  信息安全

三星默认输入法 https 降级漏洞 SVE-2023-1908(CVE-2023-42579)

  •  
  •   Ga2en · 325 天前 · 3203 次点击
    这是一个创建于 325 天前的主题,其中的信息可能已经有所发展或是发生改变。

    SVE-2023-1908(CVE-2023-42579): Improper usage of insecure protocol in SogouSDK of Chinese Samsung Keyboard

    Severity: Moderate Resolved version: 5.3.70.1 in Android 11, 5.4.60.49, 5.4.85.5, 5.5.00.58 in Android 12, and 5.6.00.52, 5.6.10.42, 5.7.00.45 in Android 13 Reported on: October 17, 2023 Description: Improper usage of insecure protocol (i.e. HTTP) in SogouSDK of Chinese Samsung Keyboard prior to versions 5.3.70.1 in Android 11, 5.4.60.49, 5.4.85.5, 5.5.00.58 in Android 12, and 5.6.00.52, 5.6.10.42, 5.7.00.45 in Android 13 allows adjacent attackers to access keystroke data using Man-in-the-Middle attack. The patch change the insecure protocol (i.e. HTTP) to secure protocol (i.e. HTTPS) Acknowledgement: Citizen Lab

    https://avd.aliyun.com/detail?id=AVD-2023-42579

    20 条回复    2024-01-22 08:47:21 +08:00
    Ga2en
        2
    Ga2en  
    OP
       325 天前
    国行自带的默认三星输入法因为使用了某国产厂商提供的引擎。输入信息用明文 http 传输至该厂服务器。
    Ga2en
        3
    Ga2en  
    OP
       325 天前
    就不加关键词了,省的引来拥趸护主。
    miaonai
        4
    miaonai  
       325 天前   ❤️ 1
    Ga2en
        5
    Ga2en  
    OP
       325 天前
    @miaonai 对。少贴了这个链接。
    Ga2en
        6
    Ga2en  
    OP
       325 天前
    相关链接放上:


    微信输入法已经与微信共享存储容器,断网无用 https://v2ex.com/t/994590#reply42

    @miaonai 你这个是流量号,还有个原发现者的视频已经消失了
    Ga2en
        7
    Ga2en  
    OP
       325 天前
    @miaonai 刚确认了一下,详尽的测试视频已经确认消失了。
    内容大概是传输到一个个人名字命名的域名上,且为明文传输。
    twofox
        8
    twofox  
       325 天前
    我昨天也看到了,还是很离谱的。

    小米自带的定制版搜狗输入法,有个隐私模式,不知道是不是真的有效果,反正我昨天看完视频我就开了
    Ga2en
        9
    Ga2en  
    OP
       325 天前
    @twofox 没用。实测很多不相关操作会导致“隐私模式”实际关闭并且可联网但是显示开启。
    monkey110
        10
    monkey110  
       325 天前
    前两天看 b 站视频刷到了,三星键盘从 s9 时代用到现在,看现在版本是 5.6.1.42 ,漏洞应该是修复了,所以说现在输入的信息还会上传么?还是单纯的从明文 http 上传变成了 https 加密上传?
    Ga2en
        11
    Ga2en  
    OP
       325 天前
    @monkey110 会。所有 ime 基本都会。
    serialt
        12
    serialt  
       325 天前
    所以用 gboard 啊,自带墙
    xwchaoa
        13
    xwchaoa  
       325 天前
    这个早就被爆出来了 前阵子就看到了
    momo1pm
        14
    momo1pm  
       325 天前 via Android
    加不加密输入法都一样卖你广告 id ,不要指望厂家良心来保护隐私,尤其国内厂家,自己控制好 app 权限
    9H93q6EKnTVFQDRq
        15
    9H93q6EKnTVFQDRq  
       325 天前
    只能用 gboard 还能怎么办,linux 上的企鹅输入法也有安卓版,但用了感觉不好用
    hefish
        16
    hefish  
       325 天前
    我不登录,sogou 知道我是谁不
    Ga2en
        17
    Ga2en  
    OP
       325 天前 via iPhone
    @hefish 在广告商眼里你只是一个数据片段。你是谁不重要
    hefish
        18
    hefish  
       325 天前
    @Ga2en 嗯嗯, 那我的裸照 sogou 读去了也没啥,反正没人认识。
    FreeWong
        19
    FreeWong  
       325 天前
    怎么复现这个情况,有做安全相关的哥们知道不
    renmu
        20
    renmu  
       324 天前 via Android
    @twofox 看完视频应该应该换 Rime 了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2572 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 00:30 · PVG 08:30 · LAX 16:30 · JFK 19:30
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.