|
||||
今天早些時候,卡飯論壇中有網友曝料稱,發現搜狗瀏覽器存在重大安全漏洞。
網友『k53941』發帖稱,他一直使用搜狗瀏覽器,最近更新了4.2版,發現登錄慢多了,折騰了幾下居然找到了一個大漏洞。
據稱漏洞簡單又誇張的不可思議:用QQ帳號登錄搜狗,快速點幾下馬上退出,等幾分鍾,搜狗瀏覽器就自動下載大量來歷不明的密碼自動填表、收藏夾、網頁更新提醒,而且收藏夾裡都不是用戶自己保存的內容,幾千個密碼也是別人的。
經檢查,智能填表裡保存的網站密碼有淘寶的、微博的、網易的、QQ郵箱的、各種學校教務處的,隨便點一個直接就記住密碼進入別人的淘寶帳號了,甚至直接可以買東西!
看上去搜狗把用戶保存並上傳的資料給同步到其他人機器上了。
具體演示過程如下:
先用QQ帳號登錄,其它賬號不行。
隨便操作幾下退出,等幾分鍾重新打開搜狗瀏覽器,打開工具->智能填表->管理表單數據,各種用戶名密碼全都出來了,至少有好幾千個。
隨便選一個,密碼直接就出來了。
接著就登陸進去了。
各種郵箱。
收藏夾裡也多出一堆別人的東西。
經過反復查找,這位用戶在C:\document and settings\administrator\application data\sogouexplorer下面發現更新了很大的文件,『HistoryUrl』、『FormData』很明顯分別對應歷史記錄、填表數據。顯然搜狗將用戶數據都同步到了這裡,都是數據庫格式。
視頻:
http://v.youku.com/v_show/id_XNjMwNjYwOTA0.html
不過現在嘗試用QQ賬號登陸搜狗瀏覽器,會彈出提示『暫時無法連接服務器』。
映象網就此撥打搜狗公司客服熱點詢問。接線員回應說,搜狗瀏覽器團隊確已發現相關安全漏洞問題,正在緊張處理,稍後官方會作出公開回復。
在被問及漏洞是不是已經發現很久了時,該接線員回復稱是剛剛發現的。