三星默认输入法 https 降级漏洞 SVE-2023-1908(CVE-2023-42579) - V2EX

Home Sign Up Sign In

This topic created in 855 days ago, the information mentioned may be changed or developed.

SVE-2023-1908(CVE-2023-42579): Improper usage of insecure protocol in SogouSDK of Chinese Samsung Keyboard

Severity: Moderate Resolved version: 5.3.70.1 in Android 11, 5.4.60.49, 5.4.85.5, 5.5.00.58 in Android 12, and 5.6.00.52, 5.6.10.42, 5.7.00.45 in Android 13 Reported on: October 17, 2023 Description: Improper usage of insecure protocol (i.e. HTTP) in SogouSDK of Chinese Samsung Keyboard prior to versions 5.3.70.1 in Android 11, 5.4.60.49, 5.4.85.5, 5.5.00.58 in Android 12, and 5.6.00.52, 5.6.10.42, 5.7.00.45 in Android 13 allows adjacent attackers to access keystroke data using Man-in-the-Middle attack. The patch change the insecure protocol (i.e. HTTP) to secure protocol (i.e. HTTPS) Acknowledgement: Citizen Lab

https://avd.aliyun.com/detail?id=AVD-2023-42579

20 replies • 2024-01-22 08:47:21 +08:00

1

Ga2en

OP

Jan 21, 2024

https://security.samsungmobile.com/serviceWeb.smsb?year=2023&month=12

2

Ga2en

OP

Jan 21, 2024

国行自带的默认三星输入法因为使用了某国产厂商提供的引擎。输入信息用明文 http 传输至该厂服务器。

3

Ga2en

OP

Jan 21, 2024

就不加关键词了，省的引来拥趸护主。

4

miaonai

Jan 21, 2024

1

https://www.bilibili.com/video/BV1KK4y1B7Nr
这个？

5

Ga2en

OP

Jan 21, 2024

@miaonai 对。少贴了这个链接。

6

Ga2en

OP

Jan 21, 2024

相关链接放上：

微信输入法已经与微信共享存储容器，断网无用 https://sunp.eu.org/t/994590#reply42

@miaonai 你这个是流量号，还有个原发现者的视频已经消失了

7

Ga2en

OP

Jan 21, 2024

@miaonai 刚确认了一下，详尽的测试视频已经确认消失了。
内容大概是传输到一个个人名字命名的域名上，且为明文传输。

8

twofox

Jan 21, 2024

我昨天也看到了，还是很离谱的。

小米自带的定制版搜狗输入法，有个隐私模式，不知道是不是真的有效果，反正我昨天看完视频我就开了

9

Ga2en

OP

Jan 21, 2024

@twofox 没用。实测很多不相关操作会导致“隐私模式”实际关闭并且可联网但是显示开启。

10

monkey110

Jan 21, 2024

前两天看 b 站视频刷到了，三星键盘从 s9 时代用到现在，看现在版本是 5.6.1.42 ，漏洞应该是修复了，所以说现在输入的信息还会上传么？还是单纯的从明文 http 上传变成了 https 加密上传？

11

Ga2en

OP

Jan 21, 2024

@monkey110 会。所有 ime 基本都会。

12

serialt

Jan 21, 2024

所以用 gboard 啊，自带墙

13

xwchaoa

Jan 21, 2024

这个早就被爆出来了前阵子就看到了

14

momo1pm

Jan 21, 2024 via Android

加不加密输入法都一样卖你广告 id ，不要指望厂家良心来保护隐私，尤其国内厂家，自己控制好 app 权限

15

9H93q6EKnTVFQDRq

Jan 21, 2024

只能用 gboard 还能怎么办，linux 上的企鹅输入法也有安卓版，但用了感觉不好用

16

hefish

Jan 21, 2024

我不登录，sogou 知道我是谁不

17

Ga2en

OP

Jan 21, 2024 via iPhone

@hefish 在广告商眼里你只是一个数据片段。你是谁不重要

18

hefish

Jan 21, 2024

@Ga2en 嗯嗯，那我的裸照 sogou 读去了也没啥，反正没人认识。

19

FreeWong

Jan 22, 2024

怎么复现这个情况，有做安全相关的哥们知道不

20

renmu

Jan 22, 2024 via Android

@twofox 看完视频应该应该换 Rime 了

About · Help · Advertise · Blog · API · FAQ · Solana · 3184 Online Highest 6679 ·

Select Language

创意工作者们的社区

World is powered by solitude

VERSION: 3.9.8.5 · 63ms · UTC 13:31 · PVG 21:31 · LAX 06:31 · JFK 09:31
♥ Do have faith in what you're doing.