搜狗浏览器现罕见密码泄露漏洞,隐私安全不是矫情!

搜狗浏览器现罕见密码泄露漏洞,隐私安全不是矫情!

Super今天上班在微博看到有消息称搜狗浏览器出现泄露密码的漏洞,消息源头来自卡饭技术论坛,称只要用QQ账号一键登录搜狗浏览器后,使用智能填表功能便可看到数千个他人的账号、密码,包括淘宝、邮箱等网站的账号密码。这个漏洞得到乌云平台证实。

智能填表功能带来的漏洞导致部分用户账号密码、收藏夹等信息泄露,有微博称影响用户数量在千万级别。目前搜狗浏览器市场份额在10%左右,用户量应该在5千万以上。此前一些浏览器收集用户上网信息的行为在这个漏洞前简直就是弱爆了。

近年与此规模级别相同的互联网安全事故应该是CSDN等网站明文保存密码的漏洞。在其数据库被侵入后用户密码被批量泄露。而搜狗这个漏洞的问题更严重:人们根本不需具备任何专业网络知识,不需具备任何攻击动机便可“被看到”他人的账号密码。

“云端智能填表数据同步”,很多人还不知道这个功能的风险在哪里。所谓智能填表,是指用户可以将一些常用网站的表单数据记录在浏览器,例如账号密码、收货地址等。这确实给用户带来了一些使用上的方便,但也带来了巨大的风险。

首先,浏览器认为用户需要在不同地方使用同样的表单,因此将表单数据同步到云端,实现用户在不同设备用同样账号登录后,可以得到同样的表单数据。目前被认为最先进的浏览器Google Chrome也是采用这种方式,它还可以实现IPad、IPhone和电脑之间的同步。这个技术最先被用在收藏夹同步上,这也是我钟爱的功能。

这些表单数据如果有同步到云端,一定要告知用户潜在的风险,让用户有知情权。目前浏览器在这块做得不好。

其次,浏览器同步这些数据理应进行加密传送,尤其是密码、账号这类极度隐私的数据。这样就算数据在传送过程被泄露,或者在服务器端被泄露后,风险也会大幅降低。显然,搜狗浏览器没做到。

再次,浏览器不能将张三的数据同步到李四的电脑上,这是最最最基本的啊!

同步技术并不简单,会编程的同学可能有体会,例如事务控制、多线程编程等总是让人头疼。而现在伴随着多种设备的兴起,尤其是移动设备的爆发,云+端已经成为越来越多的应用的标配。不论是照片,还是通讯录,还是浏览器数据的多终端同步已经是刚需。

但包括Android在内,在通讯录同步等问题均不是那么完美,有时候还会出现重复号码。笔者此前使用最大某最大的移动App同步通讯录之后,手机里竟然无端地增加了大量东莞的号码。

因此,同步有风险,使用需谨慎。账号密码这种数据也敢交给浏览器,或者交给密码保管箱,我对这些用户的胆量表示佩服。

近年来浏览器漏洞频发,既有后门漏洞,也有数据扫描漏洞,还有本次的账号密码泄露漏洞。发生这些漏洞的根本原因是什么?我认为是浏览器们太“跨界”,正在变得逐渐笨重有关系。

浏览器本身的功能非常简单,即帮助用户上网,浏览网页。不过由于浏览器已经成为客户端软件们重要的变现通道,其承载的功能变得愈发繁重。

不论是360还是搜狗,浏览器均是他们的“三级火箭”的中心,向上抵达网址导航或者搜索引擎,向下对接输入法或者安全客户端。这时候浏览器厂商们都恨不得将自己的浏览器变成操作系统,承载一切可以承载的功能,收集一切可以收集的信息,随着而来的是浏览器安装程序越来越大,耗用内存越来越多,收集数据越来越多,自然相关风险也会增加。

另一方面,由于浏览器要增加用户粘性,建立账号体系,提供一些云端功能是捷径,例如表单数据同步,收藏夹同步等。数据在,用户就会留下来;数据积累越多,用户离开成本越高。这本无可厚非,但是产品技术尤其是安全技术也得先过关再说。

据我了解,搜狗在同步技术方面本身还是有不少经验的。搜狗输入法的词库同步、浏览器的收藏夹同步、搜狗号码通的通讯录同步做得还可以。这次出现这个漏洞太不可思议。且看搜狗接下来怎么解释。但愿不是因为搜狗和搜搜合并后带来的影响——由于只有使用QQ一键登录才会出现这个问题,不免让人多想。

CSDN明文保存密码漏洞被发现后,几乎所有网站、App均采用MD5甚至更高级别的加密手段对密码等数据进行保存,这使得哪怕是网站技术人员在后台也无法查看到用户的密码。但愿搜狗浏览器这次自动填表漏洞可以引起业界对同步技术、数据加密技术的重视,也引起用户尤其是“小白用户”对自己的隐私安全的重视。

目前搜狗方面暂未回应,部分用户反映已无法重现BUG,那个漏洞帖子:

http://bbs.kafan.cn/thread-1648550-1-1.html

原文发布于微信公众号 - 罗超频道(luochaotmt)

原文发表时间:2013-11-05

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏BIT泽清

app 上架ios时隐藏开关会不会暴露? 提审时暴露了怎么办?

# ipv6被拒绝,2.1大礼包,后台定位被拒绝,免费的终极解决方案,苹果审核被拒绝了如何取解决,大家齐心协力让天下没有解决不了的问题!

2K1
来自专栏知晓程序

小程序不好如何反馈或举报 / 如何清理小程序缓存 / 群通知小程序推荐 | 小程序问答 #12

之前,我们总是嫌弃微信小程序太封闭。在刚过去的几天里,小程序终于走上了开放之路:在开放「小程序第三平台」和「小程序码」后,又全面开放了「公众号关联小程序」的能力...

1011
来自专栏互联网数据官iCDO

对于Tableau这个工具,美国人自己怎么看

美国拥有悠久历史的知名计算机杂志,对Tableau这个知名的自助BI工具做了较为客观的评价。如下文。 自助型商业智能(BI)工具Tableau Desktop(...

4573
来自专栏CSDN技术头条

临阵磨枪,血拼季网站优化的最后三板斧

血拼季临近,零售商们需要提升Web性能以满足高峰期的需求。本文提出三个优化建议,包括图像优化等,旨在帮助大家化解黑五的性能难题。 美国的节日购物季即将在感恩节后...

1948
来自专栏BestSDK

5个秘诀,轻松应对企业级数据存储问题

首先我们了解一下存储虚拟化的定义及其常见的三种技术。 存储虚拟化(StorageVirtualization)最通俗的理解就是对存储硬件资源进行抽象化表现。通过...

3407
来自专栏云飞学编程

世界杯快到了,看我用Python爬虫实现(伪)球迷速成!

还有4天就世界杯了,作为一个资深(伪)球迷,必须要实时关注世界杯相关新闻,了解各个球队动态,这样才能在一堆球迷中如(大)鱼(吹)得(特)水(吹),迎接大家仰慕的...

800
来自专栏Crossin的编程教室

爬虫+网站开发实例:电影票比价网

时常有同学会问我类似的问题:我已经学完了 Python 基础,也照着例子写过一点爬虫代码 / 了解过 django 的入门项目 / 看过数据分析的教程……然后就...

4225
来自专栏携程技术中心

携程2015 Open House获奖项目:响应式的蜕变

响应式的蜕变 Ctrip Tech 本文不再从最基本的语法开始行文,而在列举一些最基本的信息之后,开始探讨传统响应式设计的问题,与在实践当中思考出来的改进方法,...

2019
来自专栏java工会

java web全栈漫谈

2479
来自专栏Keegan小钢

App项目实战之路(一):概述篇

我计划做一款App产品,包括Android和iOS,做完打算将Android和iOS客户端的代码开源,并将上架到应用宝和AppStore,之后还会不断迭代。而在...

1193

扫码关注云+社区