【轉】搜狗瀏覽器搜用戶隱私遭泄威脅數千萬用戶安全

樓主 / Piglet

www.js.xinhuanet.com/2...010465.htm

今天,有網友在專業技術卡飯論壇上稱,使用QQ帳號登錄搜狗瀏覽器,可以查看到數千其他用戶的個人賬號,包括QQ、郵箱、支付寶、銀行等涉及用戶財產的賬戶信息,甚至可以直接進入其他人的支付寶進行轉賬購物,甚至直接支付交易。

　　網友在帖子中稱,“一直使用搜狗瀏覽器,最近更新了4.2新版,登錄慢多了,折騰了幾下居然發現搜狗瀏覽器一個大漏洞!”網友發現,用QQ帳號登錄搜狗,快速點幾下退出,等幾分鍾,搜狗瀏覽器就自動下載居多的密碼自動填表、收藏夾、網頁更新提醒下來,收藏夾裡都不是用戶保存的內容。

　　在搜狗瀏覽器智能填表裡保存了大量的網站密碼,涉及淘寶、微博、網易和QQ郵箱。甚至可以進入淘寶賬戶進行網購交易。

使用QQ賬號登陸搜狗網絡賬號

搜狗瀏覽器智能填表功能裡保存大量網站密碼,涉及淘寶、微博等大量用戶

可直接登陸淘寶賬戶

進入淘寶賬戶後可直接進行網購交易

收藏夾中出現大量其他用戶保存的內容

　　有技術人員分析稱,這可能是源於搜狗瀏覽器的“智能填表”功能存在漏洞。用戶在使用QQ賬戶登陸搜狗瀏覽器新版,搜狗瀏覽器會自動下載其他用戶的賬戶信息。這些信息包含了用戶的淘寶、銀行、微博、新浪、搜狐、網易和QQ郵箱等所有賬戶,隨便點擊就可進入。而且,搜狗瀏覽器將大量用戶保存的賬戶密碼以及收藏夾等信息,同步到了其他人電腦上。

　　已經有技術人員將此安全漏洞重現,卡飯上甚至出現了重視的視頻資料。任何用戶都可以根據網絡上已經公開的情況進行驗證。這樣,數千萬用戶的核心賬戶直接會被登陸,可能造成大量用戶財產受損失。

　　有技術人員建議說,這是近年來罕見的一次重大安全事故,在搜狗公司修復此漏洞之前,建議用戶千萬不可使用此瀏覽器。對於曾經使用搜狗瀏覽器登陸過的賬戶密碼的用戶,也要立刻修改全部密碼,尤其是涉及到銀行、支付寶、游戲帳號、雲存儲、郵箱等財產和隱私數據的賬戶。

　　據悉 ,這已經不是搜狗公司第一次被爆出與用戶隱私相關的安全漏洞。今年6月份,6月5日下午,烏雲漏洞報告平台發布微博稱:“發現微博瘋傳搜狗輸入法泄密事件,網友們已經挖出了大量敏感&成人內容!其實該漏洞烏雲很久之前就接到了白帽子的報告,並且及時通知了廠商,但問題至今未得到有效的處理。搜狗輸入法可導致大量用戶敏感信息泄露。”被披露的漏洞出自搜狗手機輸入法中的“多媒體輸入”功能,借助這一功能,用戶能與他人分享圖片、語音、文字等信息。具體實現方式是:將要分享的信息上傳到搜狗服務器中,形成一個可以點擊查看的鏈接。

　　在搜狗公司隨後在接受媒體采訪時,對烏雲漏洞報告平台所披露的搜狗漏洞只字未提平台,只是表示用戶的“多媒體輸入”信息泄漏,問題出在微軟的搜索引擎抓取中。

　　有網友表示,上次只是能看到其他用戶的圖片、語音、文字等信息,但這次搜狗瀏覽器的安全漏洞已經直接影響到數千萬用戶的隱私和財產安全。