网友“k53941”发帖称,他一直使用搜狗浏览器,最近更新了4.2版,发现登录慢多了,折腾了几下居然找到了一个大漏洞。
据称漏洞简单又夸张的不可思议:用QQ帐号登录搜狗,快速点几下马上退出,等几分钟,搜狗浏览器就自动下载大量来历不明的密码自动填表、收藏夹、网页更新提醒,而且收藏夹里都不是用户自己保存的内容,几千个密码也是别人的。
经检查,智能填表里保存的网站密码有淘宝的、微博的、网易的、QQ邮箱的、各种学校教务处的,随便点一个直接就记住密码进入别人的淘宝帐号了,甚至直接可以买东西!
看上去搜狗把用户保存并上传的资料给同步到其他人机器上了。
先用QQ帐号登录,其它账号不行。
随便操作几下退出,等几分钟重新打开搜狗浏览器,打开工具->智能填表->管理表单数据,各种用户名密码全都出来了,至少有好几千个。
随便选一个,密码直接就出来了。
接着就登陆进去了。
各种邮箱。
收藏夹里也多出一堆别人的东西。
经过反复查找,这位用户在C:\document and settings\administrator\application data\sogouexplorer下面发现更新了很大的文件,“HistoryUrl”、“FormData”很明显分别对应历史记录、填表数据。显然搜狗将用户数据都同步到了这里,都是数据库格式。
视频:
http://v.youku.com/v_show/id_XNjMwNjYwOTA0.html
不过现在尝试用QQ账号登陆搜狗浏览器,会弹出提示“暂时无法连接服务器”。
映象网就此拨打搜狗公司客服热点询问。接线员回应说,搜狗浏览器团队确已发现相关安全漏洞问题,正在紧张处理,稍后官方会作出公开回复。
搜狗浏览器官方声明全文——
捍卫用户利益及互联网精神 搜狗致用户书
11月5日,我们在微博上发现有账号称“搜狗浏览器存重大安全漏洞 大量用户隐私被泄露”。 对此,搜狗浏览器技术团队第一时间进行了查证,确认并不存在此类现象。
一直以来,搜狗致力于为用户提供安全可靠的产品和服务,并严格保护用户隐私,请广大用户放心使用。
搜狗坚持走独立发展的道路后,发展势头强劲,这让某些竞争对手如鲠在喉。在此我们呼吁:不要以绑架用户的名义、欺骗和恐吓用户的手段,屡次发起不正当竞争!
对此,搜狗将不放弃包括法律在内的各种途径,以坚决捍卫互联网的开放、自由精神,维护广大用户之最终权益。
搜狗公司
2013.11.05 |
BIOS
