关于 mcAfee 爆搜狗输入法窃取用户隐私之事

2015-01-20 10:54:27 +08:00
 bobopu
http://it.msn.com.cn/478445/355424608304b.shtml
这应该不是漏洞,而是故意为之吧。
9307 次点击
所在节点    程序员
66 条回复
bitwing
2015-01-20 13:07:53 +08:00
Linux 下 Rime 更新下词库可破,百度输入法在日本也爆出过类似问题
yfdyh000
2015-01-20 13:08:42 +08:00
https://blogs.mcafee.com/mcafee-labs/apps-sending-plain-http-put-personal-data-risk
该博客文章主要是说软件界传输层保护意识不足,看上去主要目标不是搜狗,还提到了微博和Costco app。如果搜狗用了https,估计都不会被提到。

收集信息意料之中,毕竟能分析和卖钱。收集USB ID感觉有些诧异,但也是能分析和卖钱。未查证是否含唯一序列号,如是就确实涉及个人隐私了,但用户“同意了”许可协议。

备注:Fiddler也能捕捉HTTPS包。上HTTPS估计会增加很大压力,毕竟是小包、频繁,所以搜狗可能选择了“不在乎”。
fbzl
2015-01-20 13:10:47 +08:00
刚才打开Fiddler并插入U盘发现
腾讯将 usb型号发往112.64.237.239:8080

并且发现一日志文件
WIN7下在目录:

C:\Users\[userName]\AppData\Roaming\Tencent\QQPhoneManager

下,有个log文件,名称为:
SSPC.log
zhicheng
2015-01-20 13:53:40 +08:00
他们应该是根本就不觉得这个是违法的,当然从技术角度说,还好他们的技术比较弱,如果我做,有无数种方法做到神不知鬼不觉。
存盘的时候用公钥加密,私钥只有服务器有,本地破解连解都解不开。发送的时候伪装成 DNS query ,伪装成 ICMP ,伪装成词库。
当然可以在系统调用上挂勾子,不过我依然可以明正言顺的说,我在检测 USB HID 。
linKnowEasy
2015-01-20 14:06:27 +08:00
手机的上 我都是禁止输入法联网。。只要基本的输入功能。。电脑就不知道有什么办法了。。
batilo
2015-01-20 14:08:22 +08:00
注: Fiddler是一款强大的数据包抓取软件。它通过代理的方式获取程序http通讯的数据,可以用其检测网页和服务器的交互情况。
Jafee
2015-01-20 14:08:24 +08:00
darksheen
2015-01-20 14:10:05 +08:00
已禁止搜狗访问网络,收集了也发不出去
lxrabbit
2015-01-20 14:18:15 +08:00
@fbzl 看来是搜狗的输入法捆绑了TX的应用宝,那直接删除应用宝的文件不就结了么
fbzl
2015-01-20 16:02:33 +08:00
@lxrabbit 是QQ深度整合应用宝,囧
sobigfish
2015-01-20 16:20:20 +08:00
之前用4.*版本,前些天被自动升级到了7.*。。。。马上卸载换了google pinyin
OS X上也只用过前两个beta版就不敢用了....
lonelygo
2015-01-20 17:38:50 +08:00
搜狗速度很快啊,楼主的链接已经被和谐。
(上述文字就是用搜狗输入法完成,目测,要换了)
bobopu
2015-01-20 17:41:07 +08:00
@lonelygo MD如果邪恶不能得到惩处,那么正义永无伸张之日。
SkyLanD
2015-01-20 17:51:08 +08:00
WIN: 小狼毫
MAC: 鼠须管
9hills
2015-01-20 17:52:47 +08:00
@fbzl 这个估计是匹配手机给你装QQ手机助手的。。。
StackGao
2015-01-20 17:56:33 +08:00
@darksheen 搜狗发送失败就先保存到本地,搜狐视频帮忙发送 -0-
lonelygo
2015-01-20 18:01:49 +08:00
@bobopu 墙外的“百度”还是可以搜到很多么。
(以上文字使用鼠须管输入)
oz
2015-01-20 18:07:29 +08:00
google pinyin 多年
wanghanlin
2015-01-20 18:23:03 +08:00
链接无法访问。。
charle9
2015-01-20 18:41:59 +08:00
@mahone3297 用bing输入法啊
(这样说会不会暴露我是微软脑残粉啊)

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/163749

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX