搜狗浏览器现罕见密码泄露漏洞,隐私安全不是矫情!

搜狗浏览器现罕见密码泄露漏洞,隐私安全不是矫情!

Super今天上班在微博看到有消息称搜狗浏览器出现泄露密码的漏洞,消息源头来自卡饭技术论坛,称只要用QQ账号一键登录搜狗浏览器后,使用智能填表功能便可看到数千个他人的账号、密码,包括淘宝、邮箱等网站的账号密码。这个漏洞得到乌云平台证实。

智能填表功能带来的漏洞导致部分用户账号密码、收藏夹等信息泄露,有微博称影响用户数量在千万级别。目前搜狗浏览器市场份额在10%左右,用户量应该在5千万以上。此前一些浏览器收集用户上网信息的行为在这个漏洞前简直就是弱爆了。

近年与此规模级别相同的互联网安全事故应该是CSDN等网站明文保存密码的漏洞。在其数据库被侵入后用户密码被批量泄露。而搜狗这个漏洞的问题更严重:人们根本不需具备任何专业网络知识,不需具备任何攻击动机便可“被看到”他人的账号密码。

“云端智能填表数据同步”,很多人还不知道这个功能的风险在哪里。所谓智能填表,是指用户可以将一些常用网站的表单数据记录在浏览器,例如账号密码、收货地址等。这确实给用户带来了一些使用上的方便,但也带来了巨大的风险。

首先,浏览器认为用户需要在不同地方使用同样的表单,因此将表单数据同步到云端,实现用户在不同设备用同样账号登录后,可以得到同样的表单数据。目前被认为最先进的浏览器Google Chrome也是采用这种方式,它还可以实现IPad、IPhone和电脑之间的同步。这个技术最先被用在收藏夹同步上,这也是我钟爱的功能。

这些表单数据如果有同步到云端,一定要告知用户潜在的风险,让用户有知情权。目前浏览器在这块做得不好。

其次,浏览器同步这些数据理应进行加密传送,尤其是密码、账号这类极度隐私的数据。这样就算数据在传送过程被泄露,或者在服务器端被泄露后,风险也会大幅降低。显然,搜狗浏览器没做到。

再次,浏览器不能将张三的数据同步到李四的电脑上,这是最最最基本的啊!

同步技术并不简单,会编程的同学可能有体会,例如事务控制、多线程编程等总是让人头疼。而现在伴随着多种设备的兴起,尤其是移动设备的爆发,云+端已经成为越来越多的应用的标配。不论是照片,还是通讯录,还是浏览器数据的多终端同步已经是刚需。

但包括Android在内,在通讯录同步等问题均不是那么完美,有时候还会出现重复号码。笔者此前使用最大某最大的移动App同步通讯录之后,手机里竟然无端地增加了大量东莞的号码。

因此,同步有风险,使用需谨慎。账号密码这种数据也敢交给浏览器,或者交给密码保管箱,我对这些用户的胆量表示佩服。

近年来浏览器漏洞频发,既有后门漏洞,也有数据扫描漏洞,还有本次的账号密码泄露漏洞。发生这些漏洞的根本原因是什么?我认为是浏览器们太“跨界”,正在变得逐渐笨重有关系。

浏览器本身的功能非常简单,即帮助用户上网,浏览网页。不过由于浏览器已经成为客户端软件们重要的变现通道,其承载的功能变得愈发繁重。

不论是360还是搜狗,浏览器均是他们的“三级火箭”的中心,向上抵达网址导航或者搜索引擎,向下对接输入法或者安全客户端。这时候浏览器厂商们都恨不得将自己的浏览器变成操作系统,承载一切可以承载的功能,收集一切可以收集的信息,随着而来的是浏览器安装程序越来越大,耗用内存越来越多,收集数据越来越多,自然相关风险也会增加。

另一方面,由于浏览器要增加用户粘性,建立账号体系,提供一些云端功能是捷径,例如表单数据同步,收藏夹同步等。数据在,用户就会留下来;数据积累越多,用户离开成本越高。这本无可厚非,但是产品技术尤其是安全技术也得先过关再说。

据我了解,搜狗在同步技术方面本身还是有不少经验的。搜狗输入法的词库同步、浏览器的收藏夹同步、搜狗号码通的通讯录同步做得还可以。这次出现这个漏洞太不可思议。且看搜狗接下来怎么解释。但愿不是因为搜狗和搜搜合并后带来的影响——由于只有使用QQ一键登录才会出现这个问题,不免让人多想。

CSDN明文保存密码漏洞被发现后,几乎所有网站、App均采用MD5甚至更高级别的加密手段对密码等数据进行保存,这使得哪怕是网站技术人员在后台也无法查看到用户的密码。但愿搜狗浏览器这次自动填表漏洞可以引起业界对同步技术、数据加密技术的重视,也引起用户尤其是“小白用户”对自己的隐私安全的重视。

目前搜狗方面暂未回应,部分用户反映已无法重现BUG,那个漏洞帖子:

http://bbs.kafan.cn/thread-1648550-1-1.html

原文发布于微信公众号 - 罗超频道(luochaotmt)

原文发表时间:2013-11-05

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏云飞学编程

世界杯快到了,看我用Python爬虫实现(伪)球迷速成!

还有4天就世界杯了,作为一个资深(伪)球迷,必须要实时关注世界杯相关新闻,了解各个球队动态,这样才能在一堆球迷中如(大)鱼(吹)得(特)水(吹),迎接大家仰慕的...

9700
来自专栏Keegan小钢

App项目实战之路(一):概述篇

我计划做一款App产品,包括Android和iOS,做完打算将Android和iOS客户端的代码开源,并将上架到应用宝和AppStore,之后还会不断迭代。而在...

14630
来自专栏程序人生

产品解析:Github Atom

昨天github通知我可以开始试用atom了。惊喜之余,立刻开始体验。 Atom是什么 Atom是github内部的编辑软件,据说已经使用了6年之久。按照ato...

37580
来自专栏CSDN技术头条

临阵磨枪,血拼季网站优化的最后三板斧

血拼季临近,零售商们需要提升Web性能以满足高峰期的需求。本文提出三个优化建议,包括图像优化等,旨在帮助大家化解黑五的性能难题。 美国的节日购物季即将在感恩节后...

20480
来自专栏腾讯大讲堂的专栏

【大系统小做】——实战篇

昨天我们分享了【海量服务之道】中【大系统小做】的基本理论,今天我们将结合QQ相册系统设计实战,让大家由浅入深的感受这一理论如何指导互联网后台系统的建设。 QQ相...

284100
来自专栏IT技术精选文摘

解密腾讯海量服务之道

一直对腾讯做产品的能力比较敬佩的,我们组做消息推送系统,而腾讯的信鸽就是我们学习的榜样。京东很多做产品的思想是跟腾讯学的,而京东很多同事也从腾讯过来的(京东合并...

90160
来自专栏BestSDK

5个秘诀,轻松应对企业级数据存储问题

首先我们了解一下存储虚拟化的定义及其常见的三种技术。 存储虚拟化(StorageVirtualization)最通俗的理解就是对存储硬件资源进行抽象化表现。通过...

37570
来自专栏云计算D1net

混合云中如何阻断I/O瓶颈?

当构建混合云时,IT团队应用认真思考他们的性能需求,从而避免I/O瓶颈。这些需求是独立于用例的。 极端情况下,数据库会存储造成伤害,且不能获得充足的IOPS,即...

36650
来自专栏云加头条

简约而不简单——大众点评+小程序开发经验谈

大众点评工程师作为特邀用户,大众点评早在小程序内测阶段就开始了产品的设计和研发,「大众点评+」也理所当然成为 1 月 9 号小程序上线后的首批应用之一,并在上线...

4.9K30
来自专栏FreeBuf

新式攻击使用W3C环境光线传感器来窃取浏览器的敏感信息

概述 在这篇文章中,我们将会给大家介绍一种从浏览器中提取敏感信息的方法,而我们所要用到的工具就是你的智能手机或笔记本电脑中的环境光传感器。文章结构如下: 1.首...

36050

扫码关注云+社区

领取腾讯云代金券