安全专家:输入法泄密错在搜狗 与微软无关
51CTO 发表于:13年06月25日 10:54 [转载] 51CTO
6月5日下午,乌云漏洞报告平台发布微博称:“发现微博疯传搜狗输入法泄密事件,网友们已经挖出了大量敏感&成人内容!其实该漏洞乌云很久之前就接到了白帽子的报告,并且及时通知了厂商,但问题至今未得到有效的处理。搜狗输入法可导致大量用户敏感信息泄露。”被披露的漏洞出自搜狗手机输入法中的“多媒体输入”功能,借助这一功能,用户能与他人分享图片、语音、文字等信息。具体实现方式是:将要分享的信息上传到搜狗服务器中,形成一个可以点击查看的链接。
今天上午,风口浪尖中的搜狗对泄密事件进行了正式回应,“搜狗手机输入法”官方微博发表声明称:搜狗为相关服务设置了robots.txt协议统一禁止搜索引擎抓取和收录,也与相关搜索引擎厂商沟通,取消了对分享数据的收录,设置了更严格的访问限制。搜狗在这份官方声明中,对乌云漏洞报告平台所披露的搜狗漏洞只字未提。此前,搜狗官方在接受新浪科技采访时表示,用户的“多媒体输入”信息泄漏,与搜索引擎没有遵守相关robots.txt协议有关,重点问题出在Bing搜索引擎中。而Bing也于第一时间发表声明予以否认:“此次搜狗旗下网站上的疑似隐私及不雅内容,在各大搜索引擎上均可以搜到。截至 2013年6月6日12:30分,仍然能通过一些搜索引擎搜索到。必应搜索并未违反Robots.txt协议。”
那么,此次泄密事件究竟是谁的责任?51CTO记者就此对相关各方进行了调查和采访。一个月前,名为“镇长”的漏洞提交者向乌云漏洞报告平台提交了一个关于搜狗输入法的高危害等级漏洞,会导致用户敏感信息泄露。乌云漏洞报告平台相关负责人向记者表示,泄密事件发生后,搜狗已经把导致泄密的“多媒体输入”功能屏蔽,但搜狗对于自己早已承认的这个漏洞,至今仍未修复。在乌云漏洞报告平台上,从漏洞被发现到修复,历经一个多月时间还未修复的情况并不多见,一般情况下,漏洞被发现后一个星期内即可修复。乌云漏洞平台认为,这次泄密事件是搜狗功能设计的问题所致。
乌云漏洞报告平台是一个位于厂商和安全研究者之间的安全问题反馈平台,在对安全问题进行反馈处理跟进的同时,为互联网安全研究者提供一个公益、学习、交流和研究的平台,厂商在乌云注册时需要确认能够代表企业身份对安全问题及时处理和响应。记者在该平台上的厂商列表上,看到了搜狗的名字。
乌云漏洞报告平台上披露的搜狗输入法漏洞
乌云漏洞报告平台还公开了搜狗输入法漏洞披露的详细状态