研究机构：搜狗输入法 每个字都传回中国大陆

加拿大多伦多大学旗下研究机构“公民实验室”（The Citizen Lab），周三（8月9日）发布报告披露，中国腾讯搜狗输入法，存在严重安全漏洞，用户的按键纪录可被网络窃听者解密，而且，用户输入的每一个字，都会被传回中国大陆的服务器上。

公民实验室的报告表示，腾讯公司的搜狗输入法，每月活跃用户超过4.55亿，是中国最受欢迎的中文输入法，占中文输入法用户的70%，并有Windows、Android 和 iOS 等多个平台的版本。

公民实验室向搜狗开发人员，报告了这些漏洞，搜狗开发人员于2023年7月20日，发布了软件的修复版本，包括 Windows 13.7，Android版本11.26和iOS版本11.25 。

公民实验室对三个操作系统平台上的搜狗输入法，进行了分析；发现该应用的加密系统，存在令人担忧的漏洞，用户键入的按键等敏感数据，可被网络窃听者破译；而且，除中国大陆的用户外，美国用户超过3.3%，台湾接近1.8%，日本超过1.5%。

公民实验室的报告还说，即使搜狗解决了报告提及的漏洞，但是，这款应用程序仍将用户输入的内容，传回中国大陆的搜狗服务器上。

世界各地用户键入的内容，都会被传输到中国大陆的服务器上，搜狗运营商和中共政府可以访问这些数据。报告特别提醒道，这些服务器都是在中共政权的法律管辖下运行的，高风险的用户应谨慎使用搜狗输入法，因为键入的内容可能包括敏感问题或个人信息。

报告还强调，搜狗应用程序的问题，实际上是中国软件的生态系统问题。研究报告表示难以想像，一款流行软件不能提供最基本的、最佳的安全措施，来保护其敏感数据；而相关的安全技术，早在20年前就已经完善了。

报告总结说，目前搜狗的解决方案，远远不足以保护用户的数据安全。需要做的是对软件开发生态系统，进行整体性变革，以解决这些系统性问题。

报告还提到，在向腾讯披露漏洞后，公民实验室研究人员发现他们的电子邮件域名（citizenlab.ca）在中国被封锁了，以致他们难以收到腾讯公司的回邮，他们表示不能确定为什么他们的域名遭到封锁，但是，他们表示，这突显了向某些辖区的公司，披露安全漏洞的意外挑战。