输入法的秘密

 今天下午大家在搜索的关键字是“site:pinyin.cn”，为什么要搜这个？让我们一起看看发生了啥事（使用第三方非系统自带输入法的朋友们更要注意）。

 搜狗手机输入法有个“多媒体输入”功能，是我们用来给他人发送短信或消息时，有想将图片、声音或视频也能分享给对方的情况。使用了“多媒体输入”即可满足，将本地的多媒体文件上传到搜狗云服务器上，输入法会生成个短URL一样的地址通过短信或网站发给对方，对方打开这个地址后就会看到该多媒体文件，非常简单省事。但悲剧也由此产生：

1）有人用这个功能上传隐私信息（身份证、果照、18禁等）

2）这些个文件没被删除，一直保存在云上

3）这些个地址被搜索引擎抓走了

4）这个问题乌云一个月之前通知了官方但是没有得到有效解决

5）有其他人发现并贴在微博上了

 这里只能说，国人现在开放程度超出了我们的想象，而且大家对于自己信息的安全过于放松警惕，导致了自己的敏感信息泄露，如

 更有甚者连高清无码套图都找出来了！（因过于露骨，马赛克也难以遮拦，这里就忍了，各位也忍了吧），乌云君只能说：这个时代变了！

 就在各位看的眼睛疼的时候又有网友发现了一些销魂的录音，乌云君也只能说：这个时代真的变了！！

 其实呢，这些个地址本身是对搜索引擎进行了屏蔽

   http://pinyin.cn/robots.txt

   User-agent: *

   Disallow: /

 但用户不仅仅在短信，连网站中也频繁使用该功能，而且搜狗没有及时清理掉用户上传的多媒体文件，导致爬虫收录了这些URL，也泄露了这些隐私文件。

 乌云对该漏洞上报有一个多月之久，厂商也进行了确认，但却迟迟未处理。今日微博有他人公布后，官方已经对文件进行了删除处理，目前搜索到的结果均现实“该文件已过期”，这处理其实挺迅速嘛。

PS1：乌云重点提示，其实并非搜狗输入法存在此问题，很多可以进行“多媒体文件上传”的输入法都可能存在此漏洞，另一款存同样问题的输入法乌云也与上个月进行了通知，希望可以及时得到解决。

PS2：乌云微信小技巧，搜索关键字【搜狗输入法】或【输入法】，查看更多输入程序的安全漏洞，各位及时做好防范！

PS3：一方面收集用户隐私数据，一方面却又不能保护好用户的数据，在漏洞被通知一个月时间后仍然存在并且被大量曝出，你们还相信云么？

[原文连接] = 当时提交给搜狗的漏洞报告地址

本文始发于微信公众号（乌云漏洞报告平台）：输入法的秘密