搜狗回應輸入法泄密：全怪搜索不守規矩

新浪科技訊 6月5日下午消息，今日安全問題反饋平台烏雲通過新浪微博發布消息稱，搜狗輸入法存在可導致大量用戶敏感信息泄漏的設計缺陷。對此搜狗方面回應稱，出現這一問題源於微軟Bing等搜索引擎沒有遵守禁止協議。

烏雲今日披露的漏洞信息中稱：“搜狗輸入法信息發送過程存儲了相對應的信息在雲端，但由於相應配置及其他原因造成會話信息(圖片、視頻、音頻)泄露”。其中的披露狀態顯示，這一漏洞5月4日已經通知搜狗，並且在5月5日收到確認。

推動此事進一步發酵的是，烏雲在公佈同時引用了三個被曝光的用戶信息截圖，其中包括不雅照片及身份證件信息等敏感內容。

上述所謂的漏洞，出自搜狗手機輸入法中的“多媒體輸入”功能。借助這一去年5月發布的功能，用戶之間能夠分享圖片、語音、文字等信息，而其原理就是將用戶想要分享的信息，上傳到搜狗伺服器中，形成一個可以點擊查看的連結。

在這種模式下，任何人知道相關內容的存儲地址，就能點擊查看。例如烏雲披露的其中一個網址為：。網址成為防止用戶隱私外泄的主要“城牆”，然而這對於搜索引擎來說，翻過去易如反掌。

然而在烏雲的報告中指出，由於“不嚴謹造成信息被搜索引擎抓取”。並舉例說以關鍵詞“site:pinyin.cn”搜索，在微軟Bing中能夠得到3700條結果，在Google中能夠得到1120條結果。並且提供了一段在Bing中驗證的代碼。

對此，搜狗官方在接受新浪科技連線時表示，用戶的“多媒體輸入”信息泄漏，與搜索引擎沒有遵守相關robots.txt協議有關。並且指出重點問題處在Bing搜索引擎中，且搜狗已經與Bing一直在溝通解決相關問題。

上述robots.txt協議，是搜索引擎中訪問網站的時候要查看的第一個檔案。robots.txt檔案告訴蜘蛛程序在伺服器上什麼檔案是可以被查看的。

至截稿時，通過搜索引擎已經不能查看搜狗輸入法“多媒體輸入”中的內容，但是在Bing中還能夠搜索到相應的網址。對於已經泄漏的網址，搜狗方面已經進行了緊急處理，官方也強調用戶上傳的內容不會進行長時間的保留。

至於解決方案，搜狗官方僅表示后續將推出更多安全防護措施。而搜狗手機輸入法這一漏洞的發現者@鎮長，則在提交的漏洞報告中給出修復建議：短信發送時可以帶一組查看碼(如4位字元)，打開連結時輸入查看碼才能查看內容。(孟鴻)