小蜜锋 - 云代码空间
—— 技术宅拯救世界!
网帖爆料
搜狗浏览器可泄密
5日下午,记者在网帖中看到,发帖者称他在更新了搜狗浏览器4.2版本后,使用QQ账号进行登录。
退出登录时发现,搜狗浏览器通过智能填表功能,自动下载了许多密码、用户名以及收藏夹等信息,这些信息都不是他自己保存的。
该网友表示,这些自动下载信息包括淘宝、微博、邮箱等常用网络功能的密码,随便点击一个就可以直接用他人的账号登录并进行正常操作,甚至可以进行网上购物。同时他还在网络上发布了照片和视频。
5日晚11时许记者发现,原帖已经被删除,目前在网上流传的都是复制或截图版本。
央视揭露
泄密现象存在已修复
昨天凌晨零时许,记者按照该网帖的操作步骤,更新了搜狗浏览器4.2版本后进行登录、退出,然后使用智能填表功能,但并未发现有其他用户的信息被下载。
在前晚中央电视台新闻频道的《24小时》节目中,也对此事进行了报道。央视记者报道其进行了成功操作,获取了上千个其他用户信息,并且使用其中一条信息成功登录了他人的淘宝账户。
这些密码信息,包括涉及公积金、各类电子邮箱、淘宝等,也有一些政府部门网上管理系统的密码。
不过在节目中记者强调,截至前晚11时40分,搜狗浏览器已不再具备下载他人信息的“功能”。
网络专家
浏览器可能未经严格测试
昨天上午,长城重点安全实验室的陈亮主任告诉记者,前天,他们安排人员进行了测试,并未发现密码泄露的情况,该漏洞已被修复。但他们发现,在用搜狗浏览器登录时进行账户切换,查看历史记录会发现一些自己并没有访问过的网站。
对于网络爆料,陈主任告诉记者,他认为搜狗浏览器可能并未对这一功能进行严格的安全测试,而一些专业人士喜欢对新产品进行非常规测试,在意外的情况下接通了搜狗的后台管理系统,进而无条件下载到了其他用户的浏览信息。
此外,还有一种可能性是搜狗浏览器的数据库出现了错误。
陈主任提示说,大部分用户缺乏安全意识,所有网站都使用一套密码,而搜狗的智能填表功能可以很方便地进行登录,但存在安全隐患。因此,在日常使用时千万不要“一套密码走天下”,密码长度要大于6位,而且要有特殊字符。同时尽量不对密码和用户名进行保存。此外,在使用浏览器时不要安装插件。
搜狗声明无漏洞
网友表示不认同
记者在搜狗浏览器的官方微博上看到,前天下午3时53分,搜狗发布了致用户书,表示网上所传的现象并不存在,并暗示此次事件是竞争对手发起的不正当竞争。
昨天上午,搜狗技术团队又向记者重申了这一点。
对于这条声明,一些网友表示不认同。有网友称,在发现漏洞后曾进行过测试,的确发现了问题,只不过后来漏洞被修复而已。