输入法的秘密

  • A+
所属分类:安全闲碎

 今天下午大家在搜索的关键字是“site:pinyin.cn”,为什么要搜这个?让我们一起看看发生了啥事(使用第三方非系统自带输入法的朋友们更要注意)。


 搜狗手机输入法有个“多媒体输入”功能,是我们用来给他人发送短信或消息时,有想将图片、声音或视频也能分享给对方的情况。使用了“多媒体输入”即可满足,将本地的多媒体文件上传到搜狗云服务器上,输入法会生成个短URL一样的地址通过短信或网站发给对方,对方打开这个地址后就会看到该多媒体文件,非常简单省事。但悲剧也由此产生:


1)有人用这个功能上传隐私信息(身份证、果照、18禁等)

2)这些个文件没被删除,一直保存在云上

3)这些个地址被搜索引擎抓走了

4)这个问题乌云一个月之前通知了官方但是没有得到有效解决

5)有其他人发现并贴在微博上了


输入法的秘密


输入法的秘密

 这里只能说,国人现在开放程度超出了我们的想象,而且大家对于自己信息的安全过于放松警惕,导致了自己的敏感信息泄露,如

输入法的秘密

输入法的秘密

 更有甚者连高清无码套图都找出来了!(因过于露骨,马赛克也难以遮拦,这里就忍了,各位也忍了吧),乌云君只能说:这个时代变了!

 就在各位看的眼睛疼的时候又有网友发现了一些销魂的录音,乌云君也只能说:这个时代真的变了!!

输入法的秘密

输入法的秘密


 其实呢,这些个地址本身是对搜索引擎进行了屏蔽


   http://pinyin.cn/robots.txt

   User-agent: *

   Disallow: /


 但用户不仅仅在短信,连网站中也频繁使用该功能,而且搜狗没有及时清理掉用户上传的多媒体文件,导致爬虫收录了这些URL,也泄露了这些隐私文件。

 乌云对该漏洞上报有一个多月之久,厂商也进行了确认,但却迟迟未处理。今日微博有他人公布后,官方已经对文件进行了删除处理,目前搜索到的结果均现实“该文件已过期”,这处理其实挺迅速嘛。



PS1:乌云重点提示,其实并非搜狗输入法存在此问题,很多可以进行“多媒体文件上传”的输入法都可能存在此漏洞,另一款存同样问题的输入法乌云也与上个月进行了通知,希望可以及时得到解决。


PS2:乌云微信小技巧,搜索关键字【搜狗输入法】或【输入法】,查看更多输入程序的安全漏洞,各位及时做好防范!


PS3:一方面收集用户隐私数据,一方面却又不能保护好用户的数据,在漏洞被通知一个月时间后仍然存在并且被大量曝出,你们还相信云么?


[原文连接] = 当时提交给搜狗的漏洞报告地址

本文始发于微信公众号(乌云漏洞报告平台):输入法的秘密

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: