安全专家:输入法泄密错在搜狗 与微软无关

51CTO 发表于:13年06月25日 10:54 [转载] 51CTO

  • 分享:
[导读]乌云漏洞报告平台发布微博称:“发现微博疯传搜狗输入法泄密事件,网友们已经挖出了大量敏感&成人内容!其实该漏洞乌云很久之前就接到了白帽子的报告,并且及时通知了厂商,但问题至今未得到有效的处理。

6月5日下午,乌云漏洞报告平台发布微博称:“发现微博疯传搜狗输入法泄密事件,网友们已经挖出了大量敏感&成人内容!其实该漏洞乌云很久之前就接到了白帽子的报告,并且及时通知了厂商,但问题至今未得到有效的处理。搜狗输入法可导致大量用户敏感信息泄露。”被披露的漏洞出自搜狗手机输入法中的“多媒体输入”功能,借助这一功能,用户能与他人分享图片、语音、文字等信息。具体实现方式是:将要分享的信息上传到搜狗服务器中,形成一个可以点击查看的链接。

今天上午,风口浪尖中的搜狗对泄密事件进行了正式回应,“搜狗手机输入法”官方微博发表声明称:搜狗为相关服务设置了robots.txt协议统一禁止搜索引擎抓取和收录,也与相关搜索引擎厂商沟通,取消了对分享数据的收录,设置了更严格的访问限制。搜狗在这份官方声明中,对乌云漏洞报告平台所披露的搜狗漏洞只字未提。此前,搜狗官方在接受新浪科技采访时表示,用户的“多媒体输入”信息泄漏,与搜索引擎没有遵守相关robots.txt协议有关,重点问题出在Bing搜索引擎中。而Bing也于第一时间发表声明予以否认:“此次搜狗旗下网站上的疑似隐私及不雅内容,在各大搜索引擎上均可以搜到。截至 2013年6月6日12:30分,仍然能通过一些搜索引擎搜索到。必应搜索并未违反Robots.txt协议。”

那么,此次泄密事件究竟是谁的责任?51CTO记者就此对相关各方进行了调查和采访。一个月前,名为“镇长”的漏洞提交者向乌云漏洞报告平台提交了一个关于搜狗输入法的高危害等级漏洞,会导致用户敏感信息泄露。乌云漏洞报告平台相关负责人向记者表示,泄密事件发生后,搜狗已经把导致泄密的“多媒体输入”功能屏蔽,但搜狗对于自己早已承认的这个漏洞,至今仍未修复。在乌云漏洞报告平台上,从漏洞被发现到修复,历经一个多月时间还未修复的情况并不多见,一般情况下,漏洞被发现后一个星期内即可修复。乌云漏洞平台认为,这次泄密事件是搜狗功能设计的问题所致。

乌云漏洞报告平台是一个位于厂商和安全研究者之间的安全问题反馈平台,在对安全问题进行反馈处理跟进的同时,为互联网安全研究者提供一个公益、学习、交流和研究的平台,厂商在乌云注册时需要确认能够代表企业身份对安全问题及时处理和响应。记者在该平台上的厂商列表上,看到了搜狗的名字。

搜狗否认产品漏洞 输入法泄密谁之过

乌云漏洞报告平台上披露的搜狗输入法漏洞

搜狗否认产品漏洞 输入法泄密谁之过

乌云漏洞报告平台还公开了搜狗输入法漏洞披露的详细状态

[责任编辑:袁家驹]
福禄克网络公司于2013年6月18日宣布推出全新“威测”Versiv布线认证测试仪系列,用于帮助数据通讯安装人员更快、更准确且更能盈利地进行铜缆和光纤作业的系统验收。
官方微信
weixin
精彩专题更多
存储风云榜”是由DOIT传媒主办的年度大型活动。回顾2014年,存储作为IT系统架构中最基础的元素,已经成为了推动信息产业发展的核心动力,存储产业的发展迈向成熟,数据经济的概念顺势而为的提出。
华为OceanStor V3系列存储系统是面向企业级应用的新一代统一存储产品。在功能、性能、效率、可靠性和易用性上都达到业界领先水平,很好的满足了大型数据库OLTP/OLAP、文件共享、云计算等各种应用下的数据存储需求。
联想携ThinkServer+System+七大行业解决方案惊艳第十六届高交会
 

公司简介 | 媒体优势 | 广告服务 | 客户寄语 | DOIT历程 | 诚聘英才 | 联系我们 | 会员注册 | 订阅中心

Copyright © 2013 DOIT Media, All rights Reserved. 北京楚科信息技术有限公司 版权所有.