近日,国际杀软巨头 McAfee 发出公告,称其研究人员发现搜狗输入法 在用户不知情的情况下自动上传用户数据 ,而上传竟然还采用了 极为不安全的 HTTP 明文传输形式 。
从研究人员的操作截图不难看出,通过非常简单的抓包分析,我们可以轻易的在搜狗输入法向其服务器发送的数据包中找到用户的个人信息,这些信息被明文存储,任何一个会使用网络嗅探软件的攻击者都可以获取到用户极为敏感的个人信息。而 McAfee 也在其官方博客上呼吁搜狗尽快在产品安全周期内修复漏洞。
从研究报告也不难看出,这项安全漏洞不仅限在桌面平台,而更为危险的是,搜狗获取用户个人信息的方式: 当任何一台移动设备通过 USB 连接至安装有搜狗输入法的 PC 时,这款输入法软件都会在后台默默的尝试读取设备的相关信息,例如设备版本号以及类型信息 ,而上传这些敏感个人信息竟然采用了极为不安全的 HTTP 协议,这种公然将用户隐私暴露在公网的行为可谓是相当大胆。
任何一个具有 CCNA 等初级网管知识的人都可以通过抓包软件轻易的获取局域网中使用搜狗输入法用户的个人信息,其存在的危险性当然不言而喻,笔者也在这里呼吁用户谨慎使用搜狗输入法的云同步功能,或者换用其他输入法来暂时规避。
▲ 本文部分内容编译自 McAfee Blog Central