曝搜狗存在重大安全漏洞

开来明道

搜狗曝重大安全漏洞 大量用户隐私被泄露   

来源：360安全中心　 发布日期：2013-11-05　 已有1305条评论  我要评论

央视新闻详细报道搜狗浏览器漏洞泄露大量用户密码

·正告搜狗：提醒用户修改密码 比掩饰漏洞更重要

近期，接到用户反馈，使用自己的QQ账户登陆搜狗浏览器，可以查看到大量其他用户的所有账号，包括银行、支付宝等涉及用户财产的账户信息，甚至可以直接进入其他人的银行、网购账号，进行转账或支付交易。专业安全技术论坛卡饭上，也有安全技术人员对此进行详细披露。

开来明道

视频实录搜狗浏览器泄露大量用户隐私

经360技术人员验证，搜狗浏览器的“智能填表”功能存在重大安全漏洞。用户在使用QQ账户登陆搜狗浏览器最新4.2版本后，搜狗浏览器会自动下载大量其他用户的用户名和密码信息。这些信息包含了用户的淘宝、微博、网易和QQ邮箱等所有账户，点击就可以顺利进入这些帐号。

开来明道

经分析，这是搜狗浏览器将大量用户保存的账户密码以及收藏夹等信息，同步到了其他人电脑上。

据微博网友反馈，搜狗浏览器“智能填表”已导致大量用户账号可被他人登录，涉及各大购物网站、电子邮件、公共服务网站、企业管理后台等重要账号，以下为部分反馈实例：
苹果商城账号：http://weibo.com/3803198634/AhiY98OHm
网易邮箱账号：http://weibo.com/3802933833/AhilN2EUm
网易彩票账号：http://weibo.com/3802020963/AhiU4uAn5
人人网账号：http://weibo.com/3805571439/AhiG95iXQ
小米账号：http://weibo.com/2813443412/AhiB4nAhm
淘宝账号：http://weibo.com/3805569521/Ahit34WwQ
公积金账户：http://weibo.com/3805571439/Ahi8GoYoi
广东省公务员考试录用管理信息系统账户：http://weibo.com/3803190611/AhkFN1DRl
聚美优品账号：http://weibo.com/3805904535/Ahkzcmqbd
当当网账号：http://weibo.com/3803202195/AhkrbC11L
QQ邮箱账号：http://weibo.com/3805897473/Ahkgscdpr
携程账号：http://weibo.com/3805889677/AhkbvayiS
学信档案账号：http://weibo.com/3803195398/Ahk7z6rmJ
某色情网站VIP账号：http://weibo.com/3803182376/AhjrVnsxp

由于搜狗的重大安全漏洞非常容易重现，任何用户都可以根据网络上已经公开的情况进行验证。这样，数千万用户的核心账户直接会被登陆，可能造成大量用户的隐私被泄露，财产受损失。

鉴于此漏洞涉及用户数量庞大，危害性极强，属于互联网上重大安全事件。360已经紧急通知国家互联网应急中心（CNCERT）和搜狗公司。

强烈建议用户：

1、所有曾经使用搜狗浏览器登陆过的账户密码全部需要修改，尤其是涉及到银行、支付宝、游戏帐号、云存储、邮箱等财产和隐私数据的账户。

2、在搜狗浏览器修复漏洞之前，暂停使用该浏览器，换用其他浏览器。

更换其他浏览器：

360安全浏览器：访问官网 立即下载

IE8浏览器：访问官网

谷歌浏览器：访问官网

傲游浏览器：访问官网 立即下载

QQ浏览器：访问官网 立即下载

开来明道

[官方动态] 捍卫用户利益及互联网精神 搜狗致用户书 [color=#999999 !important] [color=#999999 !important][复制链接]

搜狗浏览器™ 33 主题 0 好友 2407 积分 管理员 SG币0商城币1761精华0主题33帖子1338 发消息

电梯直达 楼主 发表于 昨天 17:16 |只看该作者 |倒序浏览

开来明道

360 安全卫士抹黑搜狗  炮制史上最恶劣造谣事件

2013年对搜狗来说是多事之秋，在走上独立发展道路后，拥有强劲发展势头的搜狗就成为了360公司的眼中钉、肉中刺。中秋节期间，出于“得不到，就毁掉”的目的，360偷偷篡改搜狗用户默认浏览器设置，致使数百万搜狗用户一夜之间丧失自己的浏览器选择权。为了打击报复竞争对手，360可以随意践踏用户的权益，甚至胁迫用户任其摆布，这一点，我们见识到了。
然而，让我们万万没想到的是，这远非360公司的底线。从11月5日开始，360公司经过精心的策划和导演，先后操纵论坛ID、微博水军及传媒，并动用360导航、弹窗等手段，对搜狗浏览器再次进行了疯狂抹黑。其谋划之周全，行动之迅速，动用资源之庞大，手段之凶残，堪称史上最恶劣的造谣抹黑事件。为了竞争和利益，360公司公然置公众利益于不顾，煽动制造社会恐慌，已到登峰造极的地步。
我们承诺，搜狗浏览器安全可靠，并无所谓漏洞，请广大用户放心使用。我们更态度坚决地采取法律途径，捍卫广大用户的根本利益，请与搜狗携手抵制360恶行。拒绝360，就是拒绝白色恐怖！
我们将证明这次漏洞事件完全是360精心策划、幕后操纵的行为。请支持搜狗的网友协助我们继续举证。
营销大号齐上阵，360花钱买枪手被曝光
“阿波通网络”这个粉丝只有129的微博ID，发布消息后为何会有如此爆炸性的效果？发布后短时间内多个大号为何会迅速转发？而纵观“阿波通网络”这个微博ID，之前发布的微博都是各种口水段子，丝毫没有关注过互联网的任何新闻，突然长篇大论向搜狗发难，岂不令人怀疑？结果当天下午，“阿波通网络”的相关微博已经被新浪微博以不实信息的名义删除。
更有意思的是，11月6日晚间，web2.0研究者、电子商务专家柳华芳发布微博说，“某公司的代理公关找我付费转发搜狗浏览器漏洞的水军微博，被我直接拒绝了”，该条微博发布后立即被360的水军围攻。

“阿波通网络”的微博因涉嫌“人身攻击”被新浪微博官方删除

柳华芳微博曝光360公司付费买枪手

开来明道

原始发帖人现身，声明论坛账号系被盗用发帖
“阿波通网络”微博中所提到的卡饭论坛发帖用户于11月5日晚间宣布自己是被盗号，该条信息不是自己发布的，并请大家不要相信该盗号者所发的内容。是谁盗了号？为何要盗号来爆出该条信息？卡饭是一家杀毒行业资深人士聚居的专业论坛，为什么一个平时从来不关注互联网的微博账号“阿波通网络”，却突然在卡饭发帖短短数十分钟内浏览到了帖子？

曝光所谓搜狗漏洞的帖子原来是盗号者所为

论坛视频证据涉嫌作假，360所谓公证视频经不起推敲
网上所曝出的“搜狗浏览器漏洞视频”存在多个致命漏洞和逻辑硬伤。诸多疑点显示该视频存在多处人为编辑、导演元素：登陆账号真实性存疑；视频播放时间与电脑系统时间无法同步，视频1：27至1：28在电脑系统中穿越了2分钟，让人不得不怀疑视频被动了手脚。

视频1：27至1：28在电脑系统中穿越了2分钟

而360所谓经过公证的视频，也不能为它的抹黑说法提供任何证明：只要通过账号同步功能，在A电脑上用某个QQ账号登录浏览器后，同时在B电脑浏览器上登录同一个QQ账号，即可导入表单数据，再同步到A电脑上，这是账号同步机制正常的功能特性。

开来明道

动用大批水军，ID多为同一天注册
是谁在整齐划一地动作呢？事件爆出后，360安全卫士首先发布了微博提醒用户，然后360官微在短时间内集体出动转发，继而360安全卫士启动弹窗要求用户停止使用搜狗。360也在其网站发布相关新闻，新闻中罗列出了众多用户爆出的搜狗浏览器安全漏洞问题，但这些用户莫衷一是都是马甲号，并且发布的爆料微博格式也极为相似。而点到这些微博的最后一页，也就是他们开通微博的时候发的第一条微博，共12个账号竟然都是2013年9月19日—21日期间的0：00或16：00—17：00开通的微博。

大量微博举报者都是同一天注册水军马甲

开来明道

360没有出示任何实证，大量网友已验证并不能重现360所谓漏洞
目前为止，所有的信息来源，只有卡饭论坛的帖子（论坛发帖者已证实账号被盗，帖子并非自己所发）以及360漏洞百出的视频。大量的搜狗浏览器用户和媒体记者也进行了测试，未能重现360所谓的漏洞。

记者谢筱萍未能重现“漏洞”

网友测试未能重现“漏洞”

360公司心怀鬼胎，第一时间忙着攻击对手而非遵循安全规范
保护用户上网安全是360一直宣传的宗旨，但安全行业的行业规则是什么？当遇到疑似漏洞问题，第一时间是要通知相关厂商技术人员确认漏洞的真实性，待问题查清或漏洞修补后，才向社会公开，这是为了避免被更多恶意利用、将用户损失控制在最小范围。
而360呢？在卡饭论坛帖子出现之后，其在未与搜狗取得联系、确认问题性质的情况下，先后通过在微博发布公告、向全网用户弹窗、发布视频的方式，公然散布所谓漏洞的细节。对此，乌云平台也表示并“不赞成厂商修复前公布细节”，这个安全原则，作为安全厂商的360不会不知道吧？这种严重违反安全行业规则和不顾用户利益的做法，其目的已经昭然若揭——打击其竞争对手搜狗。

大亖忽悠