搜狗浏览器现罕见密码泄露漏洞，隐私安全不是矫情！

搜狗浏览器现罕见密码泄露漏洞，隐私安全不是矫情！

Super今天上班在微博看到有消息称搜狗浏览器出现泄露密码的漏洞，消息源头来自卡饭技术论坛，称只要用QQ账号一键登录搜狗浏览器后，使用智能填表功能便可看到数千个他人的账号、密码，包括淘宝、邮箱等网站的账号密码。这个漏洞得到乌云平台证实。

智能填表功能带来的漏洞导致部分用户账号密码、收藏夹等信息泄露，有微博称影响用户数量在千万级别。目前搜狗浏览器市场份额在10%左右，用户量应该在5千万以上。此前一些浏览器收集用户上网信息的行为在这个漏洞前简直就是弱爆了。

近年与此规模级别相同的互联网安全事故应该是CSDN等网站明文保存密码的漏洞。在其数据库被侵入后用户密码被批量泄露。而搜狗这个漏洞的问题更严重：人们根本不需具备任何专业网络知识，不需具备任何攻击动机便可“被看到”他人的账号密码。

“云端智能填表数据同步”，很多人还不知道这个功能的风险在哪里。所谓智能填表，是指用户可以将一些常用网站的表单数据记录在浏览器，例如账号密码、收货地址等。这确实给用户带来了一些使用上的方便，但也带来了巨大的风险。

首先，浏览器认为用户需要在不同地方使用同样的表单，因此将表单数据同步到云端，实现用户在不同设备用同样账号登录后，可以得到同样的表单数据。目前被认为最先进的浏览器Google Chrome也是采用这种方式，它还可以实现IPad、IPhone和电脑之间的同步。这个技术最先被用在收藏夹同步上，这也是我钟爱的功能。

这些表单数据如果有同步到云端，一定要告知用户潜在的风险，让用户有知情权。目前浏览器在这块做得不好。

其次，浏览器同步这些数据理应进行加密传送，尤其是密码、账号这类极度隐私的数据。这样就算数据在传送过程被泄露，或者在服务器端被泄露后，风险也会大幅降低。显然，搜狗浏览器没做到。

再次，浏览器不能将张三的数据同步到李四的电脑上，这是最最最基本的啊！

同步技术并不简单，会编程的同学可能有体会，例如事务控制、多线程编程等总是让人头疼。而现在伴随着多种设备的兴起，尤其是移动设备的爆发，云+端已经成为越来越多的应用的标配。不论是照片，还是通讯录，还是浏览器数据的多终端同步已经是刚需。

但包括Android在内，在通讯录同步等问题均不是那么完美，有时候还会出现重复号码。笔者此前使用最大某最大的移动App同步通讯录之后，手机里竟然无端地增加了大量东莞的号码。

因此，同步有风险，使用需谨慎。账号密码这种数据也敢交给浏览器，或者交给密码保管箱，我对这些用户的胆量表示佩服。

近年来浏览器漏洞频发，既有后门漏洞，也有数据扫描漏洞，还有本次的账号密码泄露漏洞。发生这些漏洞的根本原因是什么？我认为是浏览器们太“跨界”，正在变得逐渐笨重有关系。

浏览器本身的功能非常简单，即帮助用户上网，浏览网页。不过由于浏览器已经成为客户端软件们重要的变现通道，其承载的功能变得愈发繁重。

不论是360还是搜狗，浏览器均是他们的“三级火箭”的中心，向上抵达网址导航或者搜索引擎，向下对接输入法或者安全客户端。这时候浏览器厂商们都恨不得将自己的浏览器变成操作系统，承载一切可以承载的功能，收集一切可以收集的信息，随着而来的是浏览器安装程序越来越大，耗用内存越来越多，收集数据越来越多，自然相关风险也会增加。

另一方面，由于浏览器要增加用户粘性，建立账号体系，提供一些云端功能是捷径，例如表单数据同步，收藏夹同步等。数据在，用户就会留下来；数据积累越多，用户离开成本越高。这本无可厚非，但是产品技术尤其是安全技术也得先过关再说。

据我了解，搜狗在同步技术方面本身还是有不少经验的。搜狗输入法的词库同步、浏览器的收藏夹同步、搜狗号码通的通讯录同步做得还可以。这次出现这个漏洞太不可思议。且看搜狗接下来怎么解释。但愿不是因为搜狗和搜搜合并后带来的影响——由于只有使用QQ一键登录才会出现这个问题，不免让人多想。

CSDN明文保存密码漏洞被发现后，几乎所有网站、App均采用MD5甚至更高级别的加密手段对密码等数据进行保存，这使得哪怕是网站技术人员在后台也无法查看到用户的密码。但愿搜狗浏览器这次自动填表漏洞可以引起业界对同步技术、数据加密技术的重视，也引起用户尤其是“小白用户”对自己的隐私安全的重视。

目前搜狗方面暂未回应，部分用户反映已无法重现BUG，那个漏洞帖子：

http://bbs.kafan.cn/thread-1648550-1-1.html