青青子衿, 悠悠我心, 但为君故, 沉吟至今
« 2015年中国互联网九大发展趋势预测2015年中国互联网发展展望 »

国际杀毒巨头McAfee曝光搜狗输入法漏洞

  全球知名安全公司McAfee实验室日前在其官方博客上,其研究人员发现搜狗输入法收集并上传用户设备信息,且利用明文HTTP传输用户的个人信息和企业数据,这很容易导致信息被黑客截取。McAfee实验室表示搜狗输入法此举匪夷所思,并呼吁其在安全开发周期中修补这些漏洞。

  以下是McAfee博客内容全文:

  搜狗是一款流行的中文输入法软件,宣称有超过4亿用户。用户拼音输入时,搜狗输入法可以给予提示,用户无需拼出所有字母就可以打出文字,简化了用户输入。(比如在输入“你好”的拼音“nihao”时,用户打出nh就可以出现所需文字选项。)

  我们对一款输入法可能就需要这么多吧,这也是我们在Windows7电脑上安装这款软件的原因。但是,当我们通过USB接口将一部iPod连接到安装了搜狗输入法的Windows 7电脑,这时在数据包抓取工具Fiddler上会发现一些信息。

  乍看这些信息可能会不以为意。但我们会有这样的疑问:为什么一个输入法软件需要搜集这些信息:用户连接一部iOS设备(iPod 5),运行iOS7.0,序列号是“650…”,通过USB接口“USB#ROOT_HUB20#48…”与电脑连接。

  当研究人员连上一部Android手机时,Fiddler搜集到类似的信息。

  这种情况下,收集用户的设备信息实在让人感到意外。一款输入法软件收集这些信息更让人感到匪夷所思。

  更吓人的是这些信息明文HTTP传输,这无疑会吸引黑客截取这些数据,要知道当今世界布满了恶意的移动热点。

  我们呼吁应用开发商(搜狗)能在安全开发周期中修补这些漏洞。

  注: Fiddler是一款强大的数据包抓取软件。它通过代理的方式获取程序http通讯的数据,可以用其检测网页和服务器的交互情况。

  英文原文:Apps Sending Plain HTTP Put Personal Data at Risk



  除非注明,月光博客文章均为原创,转载请以链接形式标明本文地址

  本文地址:http://www.williamlong.info/archives/4118.html
  • 文章排行:
  • 1.雷国东
  • 一个垃圾输入法,pc版天天弹广告,手机版收集个人信息,居然还有人用!
  • 2015/1/20 16:39:00   支持(79)反对(18) 回复
  • 2.AAA
  • 这算个啥,前几天看到央视做的一个互联网安全节目,里面提到360监控用户受到垃圾短信骚扰,屏幕上短信内容赫然滚动着,你搜集用户短信内容,还可以人工查看,有没有问过用户哦。
  • 2015/1/20 16:51:57   支持(35)反对(8) 回复
  • 3.龍隱路隱龍
  • 坚持用google拼音输入法总是会有回报的...
  • 2015/1/20 17:09:02   支持(34)反对(18) 回复
  • 4.老猴子先生
  • 如果直接接入三大运营商网络,被截获的可能性不大,三大流氓看不上这点业务。如果是二级运营商或者公共网络就要小心了。
  • 2015/1/21 8:44:35   支持(23)反对(9) 回复
  • 5.紫荆希露
  • 浏览器和搜索引擎都是这样,输入法也是这样的!!!
  • 2015/1/21 9:37:38   支持(26)反对(12) 回复
  • 6.李大牛_1984
  • bing输入法比搜狗好用多了(摊手
  • 2015/1/20 16:26:00   支持(29)反对(17) 回复
  • 7.羊没吐气嘿
  • 搜狗卸载了,一个输入法还弄个cloud,把电脑都拖死了,越做越臃肿,换了Google,一身轻松!
  • 2015/1/21 8:23:34   支持(26)反对(14) 回复
  • 8.菲依Amy
  • 呵呵。招网兼,学生,上班族,主妇,都可以。利用你的空余时间赚点零花钱。手机,电脑都行。日结,少时几十,多时几百上千的都有。需要的加我qq1415052407
  • 2015/1/21 10:02:40   支持(23)反对(11) 回复
  • 9.何hi海
  • 用的是百度,感觉不错呀。。。
  • 2015/1/21 10:58:43   支持(21)反对(12) 回复
  • 10.三根皮带_深井冰
  • 国内厂商无节操啊..
  • 2015/1/20 16:06:58   支持(28)反对(20) 回复
  • 11.赖锡进
  • 卧槽,幸好我有先见之明,多年前就不用搜狗输入法了。
  • 2015/1/20 16:14:59   支持(22)反对(14) 回复
  • 12.小浣熊捏稀碎
  • 搜狗电脑版也是一样,还他妈开始弹网页新闻了,你他妈就是一输入法
  • 2015/1/21 10:16:41   支持(23)反对(15) 回复
  • 13.MarvinGPP
  • 国内这些公司真是没几个可以相信的,所以尽量不用
  • 2015/1/21 11:23:45   支持(18)反对(10) 回复
  • 14.冥小想
  • 什么漏洞啊,本来就是有意为之,早不用搜狗输入法了
  • 2015/1/20 17:18:45   支持(23)反对(16) 回复
  • 15.建金先森
  • 最新版的搜狗输入法手机版2.0也是吗?iOS的
  • 2015/1/20 16:30:00   支持(17)反对(11) 回复
  • 16.Kiven_lau
  • 之前用百度输入法…结果给我后台安装百度安全卫士…怒删!装回谷歌输入法!
  • 2015/1/20 16:34:00   支持(29)反对(23) 回复
  • 18.常青藤
  • 用拼音加加。这么多年一直小众,但一直好用。
  • 2015/1/29 11:54:39   支持(18)反对(12) 回复
  • 19.David-王衛
  • 我已经很久很久没用搜狗输入法了
  • 2015/1/20 16:00:58   支持(18)反对(13) 回复
  • 20.妹汁鸡腿饭
  • 好好的QQ拼音 非要和搜狗那啥 唉
  • 2015/1/20 16:56:01   支持(19)反对(14) 回复
  • 21.Fu说八道
  • 我靠!好几个设备用这个输入法,这年头输入法都不让人省心,唉。。。
  • 2015/1/20 17:18:56   支持(15)反对(10) 回复
  • 22.laozhu
  • 幸好早就不用搜狗输入法了。
  • 2015/1/20 21:24:17   支持(14)反对(9) 回复
  • 23.SDHEHWEH
  • 用必应输入法,微软还是比较有节操的。
  • 2015/1/21 10:05:40   支持(22)反对(17) 回复
  • 24.深埋的生姜
  • 电脑和安卓用谷歌输入法,iphone用原生输入法。
  • 2015/1/21 10:21:41   支持(19)反对(14) 回复
  • 26.余一飞W
  • 搜狗流氓属性非常严重,用户体检极差
  • 2015/1/20 17:17:02   支持(17)反对(13) 回复
  • 27.宋姆斯特丹
  • 我还不明白每次淘宝百度搜完了什么东西,开别的页面干别的的时候侧边条广告都会出现刚才搜过的东西,隐私何在
    kidmysoul 于 2015-1-22 13:42:47 回复
    这个好像不关输入法的事,是浏览器可以设置的
  • 2015/1/21 9:18:37   支持(29)反对(25) 回复
  • 28.想环游世界的窦速女超人
  • 删,果然没人会毫无理由对你好
  • 2015/1/21 10:47:42   支持(23)反对(19) 回复
  • 29.王比歇夫
  • QQ拼音现在也是交给搜狗开发组做了,唉…
  • 2015/1/20 16:20:59   支持(20)反对(17) 回复
  • 30.是不是逗你玩
  • 我就觉得搜狗这货有猫腻,原来真是的,一直让我登录账号,然后拥有专属的词典,专属你妹,便于你搜集个人信息吧
  • 2015/1/20 17:18:18   支持(22)反对(19) 回复
  • 32.chen23547
  • 用搜狗拼音的人要注意了。尤其是在iOS、Android上使用的人。
  • 2015/1/21 8:38:35   支持(18)反对(15) 回复
  • 33.guongyihe
  • 这根本不是漏洞,是故意的。
  • 2015/1/21 9:28:38   支持(20)反对(17) 回复
  • 34.痴人_说梦_-
  • 国内软件就是天下乌鸦一样黑。
  • 2015/1/21 11:17:44   支持(18)反对(15) 回复
  • 35.能飞的都远逝
  • 看来是要放弃搜狗了。
  • 2015/1/21 20:07:14   支持(17)反对(14) 回复
  • 36.分享之源
  • 付费卖服务,免费卖用户。
  • 2015/1/22 11:06:00   支持(20)反对(17) 回复
  • 37.旧港V
  • 早就知道了,不止一家。我只用手机自带的。
  • 2015/1/21 9:05:36   支持(18)反对(16) 回复
  • 39.爱唠叨
  • 国内软件厂商毫无节操可言
  • 2015/1/21 8:47:35   支持(18)反对(17) 回复
  • 40.聪聪essay论文代写
  • essay论文代写,有需要找我。
  • 2015/1/21 10:28:41   支持(15)反对(14) 回复
  • 41.V字仇杀队
  • 我猜,月光其实真的想让我们看得都在那个原文链接中。有时我都替作者憋屈,在这环境下,谁敢说真话,V。。
  • 2015/2/8 0:05:15   支持(14)反对(13) 回复
  • 42.风吟
  • 还好我不用这个很久了,我用的是 google pinyin
    123 于 2015-1-25 11:41:10 回复
    哪天再把Google拼音屏蔽,tg就可以安心监控了
    123 于 2015-1-25 11:42:39 回复
    哪天再把google拼音屏蔽,tg就可以安心监控了
    共匪 于 2015-2-27 14:51:13 回复
    在中国,能同团伙合作,就可胡作非为,团伙大于法,软件行业也是如此.有团伙的地方就会充满邪恶.
  • 2015/1/20 16:11:59   支持(26)反对(26) 回复
  • 43.腐国墙冰
  • 刚刚看了全文,国产的货色真恐怖,幸亏我国产的只用QQ,威信
  • 2015/1/20 16:51:01   支持(19)反对(19) 回复
  • 44.匆匆的小铺
  • 搜狗也会不经意间给你安装什么浏览器之类的
  • 2015/1/20 17:06:02   支持(15)反对(15) 回复
  • 46.圆圆堆圆圆的雪人
  • 一个输入法要用户隐私有什么用?
  • 2015/1/21 8:27:34   支持(18)反对(18) 回复
  • 47.咫看不厌
  • 还好,淘汰搜狗了,现在用苹果自带的,pc用bing或者google。
  • 2015/1/21 9:12:37   支持(14)反对(14) 回复
  • 48.抖森的抖
  • 不是已经早就习惯了么……
  • 2015/1/21 9:32:38   支持(19)反对(19) 回复
  • 49.sun天鹏
  • 别告诉我搜集设备型号及软件版本号是为了卖给手机厂商进行数据分析的😞
  • 2015/1/21 9:58:39   支持(17)反对(17) 回复
  • 50.呆萌哈哈哈
  • 根本不是搜狗一家好么。。。其实好多APP都在用你的个人信息,几乎是全部。。。
  • 2015/1/21 10:53:43   支持(20)反对(20) 回复
  • 51.不再去漂泊
  • 看起来不仅是邮箱、云盘等切用国外的,输入法也得用国外的了。
  • 2015/1/21 11:07:44   支持(14)反对(14) 回复
  • 53.sunshine
  • 搜集用户设备信息倒也合情理,但搜集个人信息那是国内很多网络公司在完成上面(你懂的)派下来的监控任务,用google什么的一查就知道了。
    另外,bing输入法的确比搜狗什么的流畅,搜狗太臃肿了,而且弹窗/广告太多。
    mcAfee不妨装一装国内的QQ/迅雷/360/还有很多国内的杀软……什么的就知道了,都在后台默默地传输数据……
  • 2015/1/27 15:35:19   支持(15)反对(15) 回复
  • 54.xyCodeFarmer
  • 不用搜狗很多年了。直接使用 ms的 或者是google的。
  • 2015/1/20 17:14:02   支持(19)反对(20) 回复
  • 56.Rsoh
  • 一直谷歌64位输入法,虽然从来没更新过,不过省心,够用。
  • 2015/1/21 10:35:42   支持(15)反对(16) 回复
  • 57.自向西去
  • 现在都不用搜狗,广告太多
  • 2015/1/21 10:41:42   支持(15)反对(16) 回复
  • 59.三生
  • 现在啥软件都收集个人信息,怕怕了
  • 2015/1/21 9:29:55   支持(15)反对(17) 回复
  • 60.遥远
  • 没有人好奇月光用什么输入法吗。。。
  • 2015/2/7 23:51:30   支持(13)反对(15) 回复
  • 61.中国互联网安全大会
  • 搞不懂,一个输入法收集用户信息干嘛?
  • 2015/1/21 8:14:33   支持(19)反对(22) 回复
  • 62.liveinUranus
  • 百度更讨厌!!主页被改 还安装一堆乱七八糟的!!!
  • 2015/1/21 9:49:39   支持(14)反对(17) 回复
  • 64.分享之源
  • 付费卖服务,免费卖用户。
  • 2015/1/22 11:09:37   支持(14)反对(17) 回复
  • 66.meOrz
  • 虽然我PC用QQ输入法,其实就是搜狗输入法啊,感觉要换回微软拼音输入法了。
  • 2015/1/21 8:20:33   支持(14)反对(18) 回复
  • 67.贾绍涤
  • 搜狗上面的那个案例更有趣。
  • 2015/1/21 9:42:39   支持(17)反对(21) 回复
  • 68.齐_大_圣
  • 早就卸载了 改用QQ输入法纯净版 一个输入法 也搞弹窗
  • 2015/1/21 20:14:15   支持(16)反对(20) 回复
  • 69.jet
  • 有些输入法还有敏感词上报功能。推荐小狼毫输入法。
  • 2015/1/26 16:08:10   支持(15)反对(19) 回复
  • 70.HH虾HH
  • 玛德被小坑了一手……细看了一下,搜狗部分是WINDOWS版收集连接到计算机的移动设备型号和系统版本
  • 2015/1/21 8:33:34   支持(11)反对(16) 回复
  • 71.辕哲甄
  • 只用摩托罗拉和谷歌拼音输入法的飘过
  • 2015/1/21 8:59:36   支持(14)反对(19) 回复
  • 72.Artix_
  • 真给国内的各种IT公司没节操的做法给跪了。
  • 2015/1/21 11:04:43   支持(8)反对(13) 回复
  • 73.drsky9527
  • 不用搜狗的任何东西,搜狗浏览器泄露帐号密码还不认账,怪别人污蔑,搜狗输入法广告天天弹,
  • 2015/1/21 11:11:44   支持(17)反对(22) 回复
  • 74.达尔爱豹纹
  • 搜狗公司不好好搜狗,搜集用户的移动设备信息是何用意?
  • 2015/1/21 20:11:14   支持(13)反对(18) 回复
  • 75.mulder
  • windows 好歹还有 微软必应 和 谷歌输入法可以选择, Mac 上没有一款国外公司的输入法, 腾讯,百度,搜狐三个流氓只能选一个, 谁比谁强呢?
  • 2015/1/21 9:22:37   支持(12)反对(18) 回复
  • 76.YMH_-颜木欢
  • 日本政府曾称发现百度日文输入法将日本用户的信息上传到中国的服务器(百度否认),如今搜狗又躺枪,如果不用第三方输入法转而使用移动设备自带的输入法,那么对于一些偏字、怪字、难字的输入,目前在移动设备中广泛植入的国标字库是难以应付的。
  • 2015/1/21 11:26:45   支持(12)反对(19) 回复
  • 77.民工阿良
  • 我就是知道这货不安好心
  • 2015/1/20 17:03:01   支持(11)反对(19) 回复
  • 78.FlowerSeaNiCe
  • 库克要发火了!下架,永封,就像对待360一样
  • 2015/1/21 9:52:39   支持(11)反对(19) 回复
  • 79.流星飞星
  • 矫情个什么,好像能看懂似的,加密了又如何,说不定有人还能解密呢
  • 2015/1/21 10:09:40   支持(21)反对(29) 回复
  • 80.靠谱的小王_
  • 一个输入法刚出来就有黑搜狗的,哎,现在的撕逼啊,
  • 2015/1/21 10:13:41   支持(11)反对(20) 回复
  • 81.刘威-LiuWei
  • 被点名的还有costco和新浪微博。
  • 2015/1/20 16:45:01   支持(8)反对(20) 回复
  • 82.UMadBrother
  • McAfee就是全球最知名的电脑病毒!不知道是哪个大公司为了变相盗取用户信息发明的,之后就开始各种入侵,安装软件时自动安装,安装系统都不放过!!!安装上了就甩也甩不掉啊!!!McAfee你tmd有什么资格说别人盗取信息啊!你分明就是吸血的蚂蝗吧?
  • 2015/1/21 8:53:35   支持(15)反对(51) 回复

发表评论:

 请勿发送垃圾信息、广告、推广信息或链接,这样的信息将会被直接删除。

订阅博客

  • 订阅我的博客:订阅我的博客
  • 关注新浪微博:关注新浪微博
  • 关注腾讯微博:关注腾讯微博
  • 关注认证空间:关注QQ空间
  • 通过电子邮件订阅
  • 通过QQ邮件订阅

站内搜索

相关文章

热文排行


月度排行

本站采用创作共用版权协议, 要求署名、非商业用途和相同方式共享. 转载本站内容必须也遵循“署名-非商业用途-相同方式共享”的创作共用协议.
This site is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 3.0 License.