搜狗瀏覽器曝重大漏洞 是競爭對手在幕后惡意中傷？

UPDATE 1——

搜狗官方已經(jīng)發(fā)表聲明，稱“確認(rèn)并不存在此類現(xiàn)象”，并暗示這是某些競爭對手在幕后惡意中傷、發(fā)起不正當(dāng)競爭：

http://news.mydrivers.com/1/281/281526.htm

UPDATE 2——

發(fā)貼人稱被盜號，原帖已經(jīng)刪除：

http://news.mydrivers.com/1/281/281595.htm

UPDATE 3——

搜狗官方發(fā)布調(diào)查報告，直指是360炮制了這起史上最惡劣的造謠事件：

http://news.mydrivers.com/1/281/281812.htm

今天早些時候，卡飯論壇中有網(wǎng)友曝料稱，發(fā)現(xiàn)搜狗瀏覽器存在重大安全漏洞。

網(wǎng)友“k53941”發(fā)帖稱，他一直使用搜狗瀏覽器，最近更新了4.2版，發(fā)現(xiàn)登錄慢多了，折騰了幾下居然找到了一個大漏洞。

據(jù)稱漏洞簡單又夸張的不可思議：用QQ帳號登錄搜狗，快速點幾下馬上退出，等幾分鐘，搜狗瀏覽器就自動下載大量來歷不明的密碼自動填表、收藏夾、網(wǎng)頁更新提醒，而且收藏夾里都不是用戶自己保存的內(nèi)容，幾千個密碼也是別人的。

經(jīng)檢查，智能填表里保存的網(wǎng)站密碼有淘寶的、微博的、網(wǎng)易的、QQ郵箱的、各種學(xué)校教務(wù)處的，隨便點一個直接就記住密碼進(jìn)入別人的淘寶帳號了，甚至直接可以買東西!

看上去搜狗把用戶保存并上傳的資料給同步到其他人機(jī)器上了。

具體演示過程如下：

先用QQ帳號登錄，其它賬號不行。

隨便操作幾下退出，等幾分鐘重新打開搜狗瀏覽器，打開工具->智能填表->管理表單數(shù)據(jù)，各種用戶名密碼全都出來了，至少有好幾千個。

隨便選一個，密碼直接就出來了。

接著就登陸進(jìn)去了。

各種郵箱。

收藏夾里也多出一堆別人的東西。

經(jīng)過反復(fù)查找，這位用戶在C:\document and settings\administrator\application data\sogouexplorer下面發(fā)現(xiàn)更新了很大的文件，“HistoryUrl”、“FormData”很明顯分別對應(yīng)歷史記錄、填表數(shù)據(jù)。顯然搜狗將用戶數(shù)據(jù)都同步到了這里，都是數(shù)據(jù)庫格式。

視頻：

http://v.youku.com/v_show/id_XNjMwNjYwOTA0.html

不過現(xiàn)在嘗試用QQ賬號登陸搜狗瀏覽器，會彈出提示“暫時無法連接服務(wù)器”。

映象網(wǎng)就此撥打搜狗公司客服熱點詢問。接線員回應(yīng)說，搜狗瀏覽器團(tuán)隊確已發(fā)現(xiàn)相關(guān)安全漏洞問題，正在緊張?zhí)幚?，稍后官方會作出公開回復(fù)。

在被問及漏洞是不是已經(jīng)發(fā)現(xiàn)很久了時，該接線員回復(fù)稱是剛剛發(fā)現(xiàn)的。

關(guān)鍵詞： 搜狗瀏覽器 重大漏洞