漏洞概要 关注数(24) 关注此漏洞
>
漏洞详情
披露状态:
2012-08-17: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-08-17: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
百度输入法版本3.1.5,默认打开云输入法。
当选用中文输入时,按多几个字母,在选词条上面会显示小云标志,此时通过抓包,发现百度收集了用户很多信息,包括输入内容,手机厂商,手机型号,安卓版本号,手机IMEI号,还有一串很长的加密字符串。更主要的是,这些信息都是通过GET方法提交的。。。会记录到服务器日志里。。。
同时测试了搜狗输入法3.1.1,默认打开云输入。但启用搜狗输入法时,会提示将收集用户输入信息的告警。
当选用中文输入时,按多几个字母,在选词条上面会显示小云标志,此时通过抓包,发现搜狗收集了用户信息,包括输入内容,手机IMEI号,和该输入法软件来自于哪个安卓市场,输入内容是POST提交的。
不甘心啊,下载个GOOGLE拼音输入法2.0.1版本,启用输入法时,会提示将收集用户输入信息的告警。
但所有输入过程中,都没有抓到上传数据的包,至少HTTP协议下没有抓到包。。。
详细说明:
百度输入法版本3.1.5,默认打开云输入法。
当选用中文输入时,按多几个字母,在选词条上面会显示小云标志,此时通过抓包,发现百度收集了用户很多信息,包括输入内容,手机厂商,手机型号,安卓版本号,手机IMEI号,还有一串很长的加密字符串。更主要的是,这些信息都是通过GET方法提交的。。。会记录到服务器日志里。。。
PY字段是输入内容,PRD和UID字段是IMEI号的倒写,UA字段和USER-AGENT包含手机型号、安卓版本号,PM2有很长的加密串包含什么不可告人的就不知道了。
同时测试了搜狗输入法3.1.1,默认打开云输入。但启用搜狗输入法时,会提示将收集用户输入信息的告警。
当选用中文输入时,按多几个字母,在选词条上面会显示小云标志,此时通过抓包,发现搜狗收集了用户信息,包括输入内容,手机IMEI号,和该输入法软件来自于哪个安卓市场,输入内容是POST提交的。
这是启动时的告警信息。
r字段里是包含该输入法安装来源于哪个安卓市场,H字段是手机IMEI号,POST内容是输入内容。
不甘心啊,下载个GOOGLE拼音输入法2.0.1版本,启用输入法时,会提示将收集用户输入信息的告警。
但所有输入过程中,都没有抓到上传数据的包,至少HTTP协议下没有抓到包。。。
启动时的告警信息
输入这么长的字母,等待了两分钟,没抓到HTTP包。
我只想说,任何企业都不应该以任何借口来偷用户隐私信息。
漏洞证明:
百度输入法版本3.1.5,默认打开云输入法。
当选用中文输入时,按多几个字母,在选词条上面会显示小云标志,此时通过抓包,发现百度收集了用户很多信息,包括输入内容,手机厂商,手机型号,安卓版本号,手机IMEI号,还有一串很长的加密字符串。更主要的是,这些信息都是通过GET方法提交的。。。会记录到服务器日志里。。。
PY字段是输入内容,PRD和UID字段是IMEI号的倒写,UA字段和USER-AGENT包含手机型号、安卓版本号,PM2有很长的加密串包含什么不可告人的就不知道了。
同时测试了搜狗输入法3.1.1,默认打开云输入。但启用搜狗输入法时,会提示将收集用户输入信息的告警。
当选用中文输入时,按多几个字母,在选词条上面会显示小云标志,此时通过抓包,发现搜狗收集了用户信息,包括输入内容,手机IMEI号,和该输入法软件来自于哪个安卓市场,输入内容是POST提交的。
这是启动时的告警信息。
r字段里是包含该输入法安装来源于哪个安卓市场,H字段是手机IMEI号,POST内容是输入内容。
不甘心啊,下载个GOOGLE拼音输入法2.0.1版本,启用输入法时,会提示将收集用户输入信息的告警。
但所有输入过程中,都没有抓到上传数据的包,至少HTTP协议下没有抓到包。。。
启动时的告警信息
输入这么长的字母,等待了两分钟,没抓到HTTP包。
我只想说,任何企业都不应该以任何借口来偷用户隐私信息。
修复方案:
我是不敢再用百度的输入法了。。。。你呢。。。。
版权声明:转载请注明来源 kebi@乌云
>
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝