据媒体报道,有部分用户表示,搜狗输入法可绕过密码,在锁屏的状况下实行CMD命令,获得本机系统权限。
深入分析此问题,其根源在于搜狗输入法在某些状况下被赋予了过高的运行权限,加之其内部权限验证机制的不健全,使得未经授权的操作成为可能。这种设计上的疏漏,让攻击者有机可乘,可以在目的系统上实行任意命令,很大地增加了系统被非法入侵的风险。
鉴于目前形势的严峻性,在搜狗输入法官方尚未推出修复此漏洞的新版本之前,大家强烈建议用户采取预防手段,即暂时卸载搜狗输入法,转而用其他经过严格安全验证的输入法软件,以保障个人信息安全不受侵害。
面对这一指责,搜狗输入法官方飞速作出了回话。他们表示,经过安全团队的全方位排查,确认该问题主要存在于特定版本的Windows系统中,其背后缘由是Microsoft的屏幕键盘等有关程序以特权接口加载中文输入法时产生的交互问题。搜狗方面已积极将这一系统层面的漏洞信息通报给Microsoft,并期待双方合作尽快解决。
除此之外,互联网上还流传着一些借助搜狗输入法游戏中心功能绕过锁屏的课程,这类课程展示了怎么样在Windows锁屏界面直接启动游戏中心窗口,进而通过一系列操作打开CMD窗口,达成系统层面的深度访问。这类课程的存在进一步凸显了加大互联网安全意识的重要程度。
值得庆幸的是,搜狗输入法团队已飞速响应,于8月2日正式发布了14.7版本,明确宣布已修复了部分Windows系统版本下,通过第三方输入法在锁屏状况下提权的问题。
