2019/01/18

McAfee曝出搜狗输入法再次侵犯用户隐私 

搜狗,你越来越不像话了哦。先是输入法弹窗,广告,捆绑插件;现在又玩这么一出,是不想好好的玩耍了么?

记住,你TM就一款输入法而已,别做入口平台的梦。

2013年,搜狗浏览器就曾被央视等众多媒体曝光存在重大安全隐患,泄露用户隐私。没想到2015年,搜狗输入法再次深陷泄密门:全球知名安全公司McAfee实验室日前在其官方博客上曝光,其研究人员发现搜狗输入法收集并上传用户设备信息,且利用明文HTTP传输用户的个人信息和企业数据,这很容易导致这些隐私信息泄露。搜狗一再挑战用户底线,微博上用户已经吐槽了半边天。

早在去年6月,搜狗输入法就已经被曝光过出现漏洞,乌云漏洞报告平台发布的报告称,其漏洞导致大量用户的图片、语音、短信等私密信息遭泄露并在网上公开流传。

以下是McAfee博客内容全文:

搜狗是一款流行的中文输入法软件,宣称有超过4亿用户。用户拼音输入时,搜狗输入法可以给予提示,用户无需拼出所有字母就可以打出文字,简化了用户输入。(比如在输入“你好”的拼音“nihao”时,用户打出nh就可以出现所需文字选项)

我们对一款输入法可能就需要这么多吧,这也是我们在Windows7电脑上安装这款软件的原因。但是,当我们通过USB接口将一部iPod连接到安装了搜狗输入法的Windows 7电脑,这时在数据包抓取工具Fiddler上会发现一些信息。

乍看这些信息可能会不以为意。但我们会有这样的疑问:为什么一个输入法软件需要搜集这些信息:用户连接一部iOS设备(iPod 5),运行iOS7.0,序列号是“650…”,通过USB接口“USB#ROOT_HUB20#48…”与电脑连接。

当研究人员连上一部Android手机时,Fiddler搜集到类似的信息。(Fiddler是一款强大的数据包抓取软件。它通过代理的方式获取程序http通讯的数据,可以用其检测网页和服务器的交互情况)

这种情况下,收集用户的设备信息实在让人感到意外。一款输入法软件收集这些信息更让人感到匪夷所思。

更吓人的是这些信息明文HTTP传输,这无疑会吸引黑客截取这些数据,要知道当今世界布满了恶意的移动热点。

我们呼吁应用开发商(搜狗)能在安全开发周期中修补这些漏洞。

为什么一个简单的输入法软件,却能在用户的终端上为所欲为?因为我们最信任它最没有防备它,一直就觉得它仅仅是个输入法而已。

业内多名技术专家告诉记者,输入法已经是电脑上安全风险最高的软件之一,其拥有可以注入到电脑里所有软件的权限,同时,还能绕过用户自己安装的安全软件。换句话说,他可以伴随电脑内任何软件同时启动,并在不被安全软件的防护下为所欲为。

日本政府曾称发现百度日文输入法将日本用户的信息上传到中国的服务器(百度否认),如今搜狗又被抓现行。

当然了,搜狗方面继续秉承中方的一贯优良传统:死不认账!每每都是否认漏洞的存在,并且拒绝解释。这一次,被McAfee欧巴着实狠狠的打了脸。

嗯,是时候删掉搜狗换谷歌或bing了。你们也必须给广大普通网民一个说法。

Article Tags

Related Posts