新浪科技訊 6月5日下午消息，今日安全問題反饋平臺烏云通過新浪微博發(fā)布消息稱，搜狗輸入法存在可導(dǎo)致大量用戶敏感信息泄漏的設(shè)計(jì)缺陷。對此搜狗方面回應(yīng)稱，出現(xiàn)這一問題源于微軟Bing等搜索引擎沒有遵守禁止協(xié)議。e6v北京網(wǎng)站設(shè)計(jì)開發(fā),小程序開發(fā),公眾號,微信開發(fā)-云智互聯(lián)

烏云今日披露的漏洞信息中稱：“搜狗輸入法信息發(fā)送過程存儲了相對應(yīng)的信息在云端，但由于相應(yīng)配置及其他原因造成會(huì)話信息（圖片、視頻、音頻）泄露”。其中的披露狀態(tài)顯示，這一漏洞5月4日已經(jīng)通知搜狗，并且在5月5日收到確認(rèn)。e6v北京網(wǎng)站設(shè)計(jì)開發(fā),小程序開發(fā),公眾號,微信開發(fā)-云智互聯(lián)

推動(dòng)此事進(jìn)一步發(fā)酵的是，烏云在公布同時(shí)引用了三個(gè)被曝光的用戶信息截圖，其中包括不雅照片及身份證件信息等敏感內(nèi)容。e6v北京網(wǎng)站設(shè)計(jì)開發(fā),小程序開發(fā),公眾號,微信開發(fā)-云智互聯(lián)

上述所謂的漏洞，出自搜狗手機(jī)輸入法中的“多媒體輸入”功能。借助這一去年5月發(fā)布的功能，用戶之間能夠分享圖片、語音、文字等信息，而其原理就是將用戶想要分享的信息，上傳到搜狗服務(wù)器中，形成一個(gè)可以點(diǎn)擊查看的鏈接。e6v北京網(wǎng)站設(shè)計(jì)開發(fā),小程序開發(fā),公眾號,微信開發(fā)-云智互聯(lián)

在這種模式下，任何人知道相關(guān)內(nèi)容的存儲地址，就能點(diǎn)擊查看。例如烏云披露的其中一個(gè)網(wǎng)址為：http://pinyin.cn/1VS8MfNgojq。網(wǎng)址成為防止用戶隱私外泄的主要“城墻”，然而這對于搜索引擎來說，翻過去易如反掌。e6v北京網(wǎng)站設(shè)計(jì)開發(fā),小程序開發(fā),公眾號,微信開發(fā)-云智互聯(lián)

然而在烏云的報(bào)告中指出，由于“不嚴(yán)謹(jǐn)造成信息被搜索引擎抓取”。并舉例說以關(guān)鍵詞“site:pinyin.cn”搜索，在微軟Bing中能夠得到3700條結(jié)果，在Google中能夠得到1120條結(jié)果。并且提供了一段在Bing中驗(yàn)證的代碼。e6v北京網(wǎng)站設(shè)計(jì)開發(fā),小程序開發(fā),公眾號,微信開發(fā)-云智互聯(lián)

對此，搜狗官方在接受新浪科技連線時(shí)表示，用戶的“多媒體輸入”信息泄漏，與搜索引擎沒有遵守相關(guān)robots.txt協(xié)議有關(guān)。并且指出重點(diǎn)問題處在Bing搜索引擎中，且搜狗已經(jīng)與Bing一直在溝通解決相關(guān)問題。e6v北京網(wǎng)站設(shè)計(jì)開發(fā),小程序開發(fā),公眾號,微信開發(fā)-云智互聯(lián)

上述robots.txt協(xié)議，是搜索引擎中訪問網(wǎng)站的時(shí)候要查看的第一個(gè)文件。robots.txt文件告訴蜘蛛程序在服務(wù)器上什么文件是可以被查看的。e6v北京網(wǎng)站設(shè)計(jì)開發(fā),小程序開發(fā),公眾號,微信開發(fā)-云智互聯(lián)

至截稿時(shí)，通過搜索引擎已經(jīng)不能查看搜狗輸入法“多媒體輸入”中的內(nèi)容，但是在Bing中還能夠搜索到相應(yīng)的網(wǎng)址。對于已經(jīng)泄漏的網(wǎng)址，搜狗方面已經(jīng)進(jìn)行了緊急處理，官方也強(qiáng)調(diào)用戶上傳的內(nèi)容不會(huì)進(jìn)行長時(shí)間的保留。e6v北京網(wǎng)站設(shè)計(jì)開發(fā),小程序開發(fā),公眾號,微信開發(fā)-云智互聯(lián)

至于解決方案，搜狗官方僅表示后續(xù)將推出更多安全防護(hù)措施。而搜狗手機(jī)輸入法這一漏洞的發(fā)現(xiàn)者@鎮(zhèn)長，則在提交的漏洞報(bào)告中給出修復(fù)建議：短信發(fā)送時(shí)可以帶一組查看碼（如4位字符），打開鏈接時(shí)輸入查看碼才能查看內(nèi)容。（孟鴻）e6v北京網(wǎng)站設(shè)計(jì)開發(fā),小程序開發(fā),公眾號,微信開發(fā)-云智互聯(lián)