安全专家亲身验证 搜狗浏览器漏洞经验证确实存在

安全专家亲身验证 搜狗浏览器漏洞经验证确实存在。

11月5日，包括新华社、中央电视台在内的多家媒体报道了搜狗最新版浏览器存在安全漏洞，批量泄露用户隐私数据。用户使用QQ帐号登录搜狗浏览器，可以查看到数千其他用户的个人账号，包括QQ、邮箱、支付宝、银行等涉及用户财产的账户信息，甚至可以直接进入其他人的支付宝进行转账购物，甚至直接支付交易。

漏洞被用户发现后，大量用户进行了验证并微博举报，分别发现了淘宝、国家质检总局、南昌大学、江苏烟草专卖局、网易邮箱、丁香园、神州租车、人人网、合肥市住房公积金管理中心等多个机构的账户被泄露。

同一天，搜狗在其官方微博上矢口否认了漏洞的存在。对此记者采访了两位安全专家，OWASP北京负责人、长城中电安全实验室主任陈亮和国内著名白帽、安全厂商瀚海源CEO方兴。

陈亮告诉记者，他在11月5日上午9：00左右看到了搜狗浏览器有漏洞泄露用户隐私的消息，马上对此漏洞进行了验证，确认该漏洞确实存在。陈亮认为问题可能发生在搜狗浏览器的智能表单功能，这个功能的权限管理出现了问题，将记录上传到云端的用户账号、收藏夹等信息制作成一个打包文件，批量下载到了其他用户电脑中。

OWASP北京负责人陈亮亲身验证确认搜狗漏洞存在

陈亮称下午3点钟左右再次验证时，爆料的一些情况可能已经被修复，但是换个账号重新注册，仍然可以在最爱访问网站里，罗列出一大堆网站，这些并不是本人访问过的网站。这个问题并非最近才存在，之前搜狗浏览器就存在记录账号和密码并暗中上传的情况。

方兴对记者分析称：这次的安全漏洞问题可能出在搜狗浏览器的云同步上，第一，无法确认搜狗浏览器的云同步是否得到用户授权;第二，能够同步到其他用户的信息，可能内部管理问题。

国内著名白帽方兴表示无法确认搜狗云同步取得用户授权

专家还建议，尽管搜狗已经修复了该漏洞，但已经被泄露隐私数据仍然存在着极大的风险，建议用户尽快修改账号密码，以降低或者避免由此带来的财产损失和隐私数据泄露风险。