记者 郭培
你知道吗?你用手机给朋友发送的音频、照片、文档多媒体短信,很有可能在网上一览无遗。6月5日,互联网漏洞报告平台“乌云”发布的最新漏洞报告中披露,搜狗输入法出现漏洞导致大量用户敏感信息泄露。对此,搜狗则委屈“回应”,称系统本身并不存在漏洞,用户信息泄露是由于搜索引擎的违规抓取。
搜狗手机“多媒体输入”功能 泄露用户隐私
“乌云”披露的漏洞信息中称:“搜狗输入法信息发送过程存储了相对应的信息在云端,但由于相应配置及其他原因造成会话信息(图片、视频、音频)泄露”。其中的披露状态显示,这一漏洞5月4日已经通知搜狗,并且在5月5日收到确认。同时网友还贴出了包括语音、照片、证件信息在内的大量隐私内容。
据悉,网友曝出的漏洞出自搜狗手机输入法中的“多媒体输入”功能。去年5月份,搜狗手机输入法在3.0版本中加入了一个多媒体短信功能,用户在使用搜狗手机输入法发送普通短信时,选择“多媒体输入按钮”,就可将图片和和语音以网页链接的形式发送给对方。
这项应用看上去很有意思,可是该项应用是基于网址的一个分享服务。也就是说,用户发送的音频、照片、文档等多媒体信息内容会被先上传到搜狗服务器上,对方收到短信后再通过手机浏览器打开查看多媒体短信中的内容,形成一个可以点击查看的链接。在这种模式下,任何人知道相关内容的存储地址,就能点击查看。不过由于经过robots保密协议,搜索引擎不可进行抓取。
搜狐回应:都是搜索引擎的错
昨天,记者登陆相关网站发现,通过搜索引擎已经不能查看搜狗输入法“多媒体输入”中的内容,据悉,对于已经泄漏的网址,搜狗方面已经进行了紧急处理,官方也强调用户上传的内容不会进行长时间的保留。
对于“乌云”的漏洞防线提醒,搜狐公司称,产品本身并不存在漏洞,google、百度、搜狗等搜索引擎均搜索不到保密用户信息,只有微软旗下搜索引擎必应可以显示。“是必应违反了robots协议。并非搜狗系统存在漏洞。”
记者翻阅资料了解到,robots协议,也称爬虫协议,网站通过robots协议告诉搜索引擎哪些页面可以抓取,哪些页面不能抓取。robots协议是国际互联网界通行的道德规范,其目的是保护网站数据和敏感信息、确保用户个人信息和隐私不被侵犯。
一位云存储业内专家表示,必应违反robots协议是导致用户隐私泄露的直接原因,同时,搜狗公司对用户信息的保护较弱也是因素之一。“robots协议是约定俗成的行业规定,作为搜索引擎,必应理应遵守。不过,搜狗对信息的保护措施也不够。”
近年来,随着互联网爆炸式发展,网络交易改变国人购物习惯的同时,网络交易信息已成为互联网信息安全的“重灾区”。艾瑞联合腾讯电脑管家发布的《2012个人网络安全年度报告》总结的2012年十大网络安全重大事件中,有六大事件涉及个人信息泄露,包括:快递公司泄露快递单号信息、电商行业4000万用户信息被泄露、安卓系统300款应用中有6成涉及泄露用户隐私、小米MIUI被曝泄露用户隐私等。
