pandabear 2013-11-07
临近双十一,搜狗却是不太平。
本周二,在卡饭论坛中,一个ID为k53941的用户,在卡饭论坛发表了一篇名为“搜狗重大安全漏洞可直接登录数千账户”的帖子,并拷贝一份发布到论坛的国内杀毒板块(http://bbs.kafan.cn/thread-1648767-1-1.html),图文并茂的说搜狗浏览器的云同步功能导致用户能够同步获得其他用户的信息(如账号 密码,甚至支付宝账户密码,银行密码等等)。并在后期跟着发了一个系统桌面非常干净的计算机上进行的录像。
很快,这一消息被快速扩散,后期,甚至央视也插上一脚,将战乱升级。让一众搜狗浏览器用户惶恐不安。而自诩“安全卫士”的奇虎360,则在第一时间,声称验证了此消息。紧接着,360在其安全卫士中添加了“搜狗浏览器爆重大漏洞”的红色弹窗,提醒使用搜狗浏览器的用户,马上更改支付宝、网银密码,否则有被盗风险。
面对360的安全警告手段,搜狗浏览器有了动作。利用其广泛使用的搜狗输入法,向广大搜狗浏览器用户表示:搜狗浏览器不存在所谓重大漏洞或隐私泄露,用户可放心使用。同时也旁敲侧击,呼吁某安全厂商,勿以漏洞为由,欺骗群众。随后,当天下午4点,搜狗在新浪微博发布了”捍卫用户利益及互联网精神 搜狗致用户书”的微博。
至此,奇虎360和搜狗短兵相接了。一个说证据确凿,另一个说子虚乌有。谁是谁非貌似变得模糊不清。只是,被爆出如此重大安全隐患。搜狗却只是发个微博,来个声明,就想安抚群众,显得太过草率,苍白无力。
小编在第二天下载了搜狗浏览器,按照网上的操作步骤,进行了验证。并没有出现所说的显示数千账户列表的现象。所以不知是本就没有,还是已经修复了。只是,央视的视频证据确是让我们“眼见为实”的。因此,要想结束不安,还是需要搜狗浏览器拿证据说话。
其实,早在2011年11月初,就有人在国外技术论坛Sysinternals上,爆料搜狗浏览器存在“缓冲区溢出漏洞”。若被黑客利用,可用它执行非授权指令,甚至可以取得系统特权,进行各种非法操作。被爆之后,搜狗也是发表正式声明称,搜狗浏览器并不存在此漏洞。
由此看来,搜狗浏览器的危机公关对策底气不足:一旦被爆,就发声明称不存在此漏洞。但是,这样的应对措施,是不是太过粗糙难以服众?和这次不同的是,搜狗在上次被爆出漏洞之后,卡巴斯基、金山毒霸等主流安全厂商纷纷微博声明,搜狗浏览器不存在此安全问题。一句话,扫平了谣言。