安全专家亲身验证 搜狗浏览器漏洞经验证确实存在
11月5日,包括新华社、中央电视台在内的多家媒体报道了搜狗最新版浏览器存在安全漏洞,批量泄露用户隐私数据。用户使用QQ帐号登录搜狗浏览器,可以查看到数千其他用户的个人账号,包括QQ、邮箱、支付宝、银行等涉及用户财产的账户信息,甚至可以直接进入其他人的支付宝进行转账购物,甚至直接支付交易。 漏洞被用户发现后,大量用户进行了验证并微博举报,分别发现了淘宝、国家质检总局、南昌大学、江苏烟草专卖局、网易邮箱、丁香园、神州租车、人人网、合肥市住房公积金管理中心等多个机构的账户被泄露。 同一天,搜狗在其官方微博上矢口否认了漏洞的存在。对此记者采访了两位安全专家,OWASP北京负责人、长城中电安全实验室主任陈亮和国内著名白帽、安全厂商瀚海源CEO方兴。 陈亮告诉记者,他在11月5日上午9:00左右看到了搜狗浏览器有漏洞泄露用户隐私的消息,马上对此漏洞进行了验证,确认该漏洞确实存在。陈亮认为问题可能发生在搜狗浏览器的智能表单功能,这个功能的权限管理出现了问题,将记录上传到云端的用户账号、收藏夹等信息制作成一个打包文件,批量下载到了其他用户电脑中。
OWASP北京负责人陈亮亲身验证确认搜狗漏洞存在 陈亮称下午3点钟左右再次验证时,爆料的一些情况可能已经被修复,但是换个账号重新注册,仍然可以在最爱访问网站里,罗列出一大堆网站,这些并不是本人访问过的网站。这个问题并非最近才存在,之前搜狗浏览器就存在记录账号和密码并暗中上传的情况。
搜狗存重大安全漏洞 公证视频原版地址
:http://v.youku.com/v_show/id_XNjMwOTE5NjQ0.html
|