|
今天早些時候,卡飯論壇中有網(wǎng)友曝料稱,發(fā)現(xiàn)搜狗瀏覽器存在重大安全漏洞。 網(wǎng)友“k53941”發(fā)帖稱,他一直使用搜狗瀏覽器,最近更新了4.2版,發(fā)現(xiàn)登錄慢多了,折騰了幾下居然找到了一個大漏洞。 據(jù)稱漏洞簡單又夸張的不可思議:用QQ帳號登錄搜狗,快速點幾下馬上退出,等幾分鐘,搜狗瀏覽器就自動下載大量來歷不明的密碼自動填表、收藏夾、網(wǎng)頁更新提醒,而且收藏夾里都不是用戶自己保存的內(nèi)容,幾千個密碼也是別人的。 經(jīng)檢查,智能填表里保存的網(wǎng)站密碼有淘寶的、微博的、網(wǎng)易的、QQ郵箱的、各種學(xué)校教務(wù)處的,隨便點一個直接就記住密碼進(jìn)入別人的淘寶帳號了,甚至直接可以買東西! 看上去搜狗把用戶保存并上傳的資料給同步到其他人機器上了。 具體演示過程如下:
先用QQ帳號登錄,其它賬號不行。
隨便操作幾下退出,等幾分鐘重新打開搜狗瀏覽器,打開工具->智能填表->管理表單數(shù)據(jù),各種用戶名密碼全都出來了,至少有好幾千個。
隨便選一個,密碼直接就出來了。
接著就登陸進(jìn)去了。
各種郵箱。
收藏夾里也多出一堆別人的東西。
經(jīng)過反復(fù)查找,這位用戶在C:\document and settings\administrator\application data\sogouexplorer下面發(fā)現(xiàn)更新了很大的文件,“HistoryUrl”、“FormData”很明顯分別對應(yīng)歷史記錄、填表數(shù)據(jù)。顯然搜狗將用戶數(shù)據(jù)都同步到了這里,都是數(shù)據(jù)庫格式。 不過現(xiàn)在嘗試用QQ賬號登陸搜狗瀏覽器,會彈出提示“暫時無法連接服務(wù)器”。 映象網(wǎng)就此撥打搜狗公司客服熱點詢問。接線員回應(yīng)說,搜狗瀏覽器團(tuán)隊確已發(fā)現(xiàn)相關(guān)安全漏洞問題,正在緊張?zhí)幚恚院蠊俜綍鞒龉_回復(fù)。
在被問及漏洞是不是已經(jīng)發(fā)現(xiàn)很久了時,該接線員回復(fù)稱是剛剛發(fā)現(xiàn)的。 |
搜狗瀏覽器曝重大安全漏洞:密碼批量泄漏
時間:2013-11-05 22:18
來源:中國網(wǎng)作者:中國網(wǎng)
網(wǎng)友“k53941”發(fā)帖稱,他一直使用搜狗瀏覽器,最近更新了4.2版,發(fā)現(xiàn)登錄慢多了,折騰了幾下居然找到了一個大漏洞。
頂一下
(0)
0%
踩一下
(0)
0%
------分隔線----------------------------
