网易 科技讯 11月7日晚间消息,今日奇虎360与搜狗相继召开新闻发布会,针对“ 360 日前曝光的 搜狗 浏览器泄露用户密码”事件分别做出了说明。360方面的技术人员现场展示了“搜狗泄密”的相关视频,并称这是经过法律公证的视频。搜狗浏览器产品负责人黎志则表示,经搜狗公司查实,360曝光的漏洞并不存在,并且没有真实的用户报告能复现漏洞,搜狗方面接着联系多家国家权威安全监测机构,也并未复现此漏洞。

在7日下午举行的发布会上,360的技术人员现场展示了“搜狗泄密”的相关视频。该视频显示,在一台只有基本应用程序的电脑中,下载安装搜狗浏览器,点击搜狗浏览器的账号登录系统,使用QQ账号和密码进行注册和登陆,双击退出该 系统。然后,在工具栏里点击“智能填表”,再选择管理表单数据,网页上就会弹出一个表单。继续点击,就会出现大量不同用户的个人账号密码等信息。视频显 示,使用这些账号和密码能够进入到这些用户的淘宝、邮箱、QQ等系统中。

360技术人员分析,导致泄密的原因,是搜狗浏览器具有的自动填表功能,这个功能会把用户的账号和密码上传到搜狗服务器上。当用户再次使用搜狗浏览 器的时候,搜狗会把收集的用户账号和密码从服务器回传到浏览器上,以方便用户使用。然而,由于搜狗的软件在同步方面存在设计缺陷,用户退出后,会触发该设 计错误,导致服务器将大量其他用户的账号和密码回传到浏览器上,除了账号和密码外,还包括其他用户的收藏夹信息、历史记录等。

搜狗方面,黎志表示,360所谓的公证过程存在造假,并称对公证过程进行干扰和造假的技术手段非常简单:在A电脑上使用某个 QQ 号登陆浏览器后,同时在B电脑浏览器上登陆同一个QQ账号,即可导入表单数据,再同步到A电脑上。

黎志同时在现场对360的公证过程进行了相应演示,“360能做到的,我们也能做到,我们也可以通过同样的方法证明360浏览器存在同样的漏洞。”

搜狗CEO王小川也表示 ,这次搜狗浏览器的漏洞事件完全是360幕后策划的行为,360从11月5日起,先后操纵论坛ID、微博水军 及传媒,以及360导航、弹窗等手段,对搜狗浏览器进行抹黑,向搜狗发难的“阿波通网络”微博中提到的卡饭论坛发帖用户于11月5日晚间宣布被盗号,所发内容并不可信。

事件回顾:

5日早间卡饭论坛网友K53941发帖称,更新搜狗浏览器4.2版后,使用QQ帐号登录搜狗,退出后搜狗浏览器自动同步了其他用户的自动填表信息和收藏夹等内容,包括微博、邮箱、淘宝等等各类登录帐号和密码。

5日上午,360官方微博宣告搜狗浏览器出现重大漏洞,用户登录使用过的网银、支付宝等所有账号和密码信息均可能被泄露,已紧急通知国家互联网应急中心和搜狗公司,建议用户在搜狗浏览器修复漏洞之前暂停使用。

5日下午3点,搜狗官方微博发布“致用户书”否认了该漏洞存在,并呼吁“竞争对手不要以绑架用户的名义欺骗和恐吓用户,发起不正当竞争”。

搜狗在5日当天对浏览器版本进行了更新,但并未对种种技术细节进行进一步说明。

卡饭论坛爆料者K53941于5日晚间却突然反水,在卡饭论坛发布声明称其论坛ID账号被盗,《搜狗重大安全漏洞可直接登陆数千账户》的帖子并非其本人所发。

7日下午,360召开记者会,发布经过法律公证的搜狗浏览器漏洞视频,并指出应该是搜狗浏览器的自动填表功能泄密了用户私人信息。随后,搜狗也召开媒体说明会,指出整个事件为360一手精心策划并操纵的抹黑事件,并用360浏览器模拟录制了类似360所录制的的公正视频,结果同样出现用户隐私泄漏的问题。(易科)