您现在的位置是:首页 > IT基础架构 > 网络与安全 >

浏览器泄密 被爆殃及校园网用户

2013-11-21 15:15:44作者:来源:

摘要  近日,许多互联网用户打开电脑后,都会被360或搜狗旗下软件的自动弹窗所吸引,双方针对用户个人信息泄密的漏洞展开了激烈论战,两家业......

  近日,许多互联网用户打开电脑后,都会被360或搜狗旗下软件的自动弹窗所吸引,双方针对用户个人信息泄密的漏洞展开了激烈论战,两家业界巨头新一轮的浏览器大战拉开序幕。舆论声势浩大,称搜狗浏览器出现了重大的安全事故,导致大量用户网银、支付账户以及企事业内部系统账户信息泄露,不仅给广大网民的个人隐私带来危害,给财产安全造成威胁,同时也给政府、高校、公用事业部门以及电子支付、电子商务等重要信息系统埋下了重大的安全隐患;而搜狗方面坚决否认浏览器存在漏洞,纯属竞争对手炒作。

  浏览器被爆泄密始末

  早在10月中旬,一些安全论坛上,陆续有用户反馈搜狗浏览器出现异常的信息。11月5日,某安全公司接到用户反馈,称在使用个人QQ账户登录搜狗浏览器时,可以查看到大量其他用户的账号和密码,使用这些账号和密码可以直接登录到这些账户。在这些论坛上,有用户发布了关于该事故的详情,特别是如何获取其他用户账号和密码的详细操作步骤。当天下午,著名漏洞报告平台WooYun(乌云)发布了搜狗浏览器存在漏洞的消息。一段在网上流传的视频显示,在一台只有基本应用程序的电脑中,下载安装搜狗浏览器,点击搜狗浏览器的账号登录系统,使用QQ账号和密码进行注册和登陆,双击退出该系统。然后,在工具栏里点击“智能填表”,再选择管理表单数据,网页上就会弹出一个表单。继续点击,就会出现大量不同用户的个人账号密码等信息。视频显示,使用这些账号和密码能够进入到这些用户的淘宝、邮箱、QQ等系统中。

  360技术人员分析,导致泄密的原因,是搜狗浏览器具有的自动填表功能,这个功能会把用户的账号和密码上传到搜狗服务器上。当用户再次使用搜狗浏览器的时候,搜狗会把收集的用户账号和密码从服务器回传到浏览器上,以方便用户使用。然而,由于搜狗的软件在同步方面存在设计缺陷,用户退出后,会触发该设计错误,导致服务器将大量其他用户的账号和密码回传到浏览器上,除了账号和密码外,还包括其他用户的收藏夹信息、历史记录等。

  校园网用户遭泄密

  11月7日,有微博网友爆料,此次搜狗浏览器所泄露的远不止账号密码这么简单,学校、企业的后台管理页面同样面临着危险。据爆料者称,江西某大学的教务管理系统后台已被搜狗浏览器泄露,账号密码已被默认填好,外来访问者可轻易登陆。据称,在今年早些时候,就有论坛网友称使用搜狗浏览器可以直接访问到网站后台管理页面,但并未引起人们的关注。而此次搜狗浏览器隐私泄露事件,让该事件再一次出现在公众面前。由于后台管理系统的特殊性,很多人习惯于将账号密码默认保存,这就造成了高校的教务处网站后台等可被人随意查阅。

  高校后台管理系统的重要性尽人皆知,对此一些业内人士也对此发表了看法,北京航空航天大学软件学院孙伟院长表示,标准浏览器例如微软IE浏览器是不能访问用户机器磁盘内容,搜狗浏览器是不是也是秉承标准IE浏览器的规则,不访问用户机器磁盘内容和内存等级内容,这个问题只有搜狗浏览器的开发团队才能回答。任何猜测都是没有意义的,目前相关的报道和截屏都无法帮助专业人士做出判断。数据泄密可能是多重原因,包括管理者登录账号,并勾选让浏览器记住密码,这也给了第三者利用超级用户账号进入系统的可能性。总之,根据简单报道的表象是无法证明搜狗浏览器是否泄漏用户数据。

  对此,搜狗浏览器相关技术人员表示,无论是“用户机器磁盘内容”还是“内存等级内容”,都是指未经授权就不能访问的隐私数据。搜狗作为主流浏览器,只会访问系统目录下的各种公共Dll库,而不会去访问除搜狗自己数据目录之外的其他数据目录。当用户启用“智能填表”功能后,搜狗浏览器只有在用户同意的情况下,才会将用户名与密码加密存储在搜狗浏览器自己的数据目录下。其同步通信采用的也是双钥加密机制,整个过程中并不存在泄露的可能。

  做好保护 勤更换密码

  在360和搜狗的公关论战中,双方各执一词,让人难辨是非。互联网业内人士提醒广大网民,目前,并没有绝对安全的浏览器软件,不管这次信息泄密事件是否成立,上网时都要养成良好的习惯。

  数据安全对于普通用户和教育用户来说都是大事,无论使用公共电脑还是个人电脑,在关闭浏览器前都要将没用的浏览历史或痕迹删除。登录账号勾选浏览器记住密码是否存在原罪,暂不讨论,但是这种做法确实有泄密可能。所以,对于曾经使用过自动填表功能的用户,技术人员建议,第一时间修改所有登录或保存过的账号密码,包括但不限于电子邮箱、社交媒体、电商、电子支付平台、手机应用账户、政府信息管理系统、公用事业信息平台、电信服务、高校内部管理信息系统、企业内部管理系统等。今后,尽量不要在登录时选择让电脑记住用户名和密码,以防信息泄露。

  同时我们呼吁,对于提供互联网软件服务的公司,应谨慎收集用户的隐私数据,特别是账号密码等,并应提供高级别的安全加密措施,保证用户个人信息不被解密,以及不同用户之间数据的隔离。此外,互联网软件应采用高水准的软件设计架构,来保证个人信息不会因为软件低级缺陷而被泄漏。


(本文不涉密)
责任编辑:

站点信息

  • 运营主体:中国信息化周报
  • 商务合作:赵瑞华 010-88559646
  • 微信公众号:扫描二维码,关注我们