漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-010983
漏洞标题:百度输入法安卓端收集用户信息太多了,搜狗输入法收集得少点。
相关厂商:百度,搜狗
漏洞作者: kebi
提交时间:2012-08-17 10:15
修复时间:2012-08-17 10:15
公开时间:2012-08-17 10:15
漏洞类型:用户敏感数据泄漏
危害等级:高
自评Rank:10
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-08-17: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-08-17: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
百度输入法版本3.1.5,默认打开云输入法。
当选用中文输入时,按多几个字母,在选词条上面会显示小云标志,此时通过抓包,发现百度收集了用户很多信息,包括输入内容,手机厂商,手机型号,安卓版本号,手机IMEI号,还有一串很长的加密字符串。更主要的是,这些信息都是通过GET方法提交的。。。会记录到服务器日志里。。。
同时测试了搜狗输入法3.1.1,默认打开云输入。但启用搜狗输入法时,会提示将收集用户输入信息的告警。
当选用中文输入时,按多几个字母,在选词条上面会显示小云标志,此时通过抓包,发现搜狗收集了用户信息,包括输入内容,手机IMEI号,和该输入法软件来自于哪个安卓市场,输入内容是POST提交的。
不甘心啊,下载个GOOGLE拼音输入法2.0.1版本,启用输入法时,会提示将收集用户输入信息的告警。
但所有输入过程中,都没有抓到上传数据的包,至少HTTP协议下没有抓到包。。。
详细说明:
百度输入法版本3.1.5,默认打开云输入法。
当选用中文输入时,按多几个字母,在选词条上面会显示小云标志,此时通过抓包,发现百度收集了用户很多信息,包括输入内容,手机厂商,手机型号,安卓版本号,手机IMEI号,还有一串很长的加密字符串。更主要的是,这些信息都是通过GET方法提交的。。。会记录到服务器日志里。。。
PY字段是输入内容,PRD和UID字段是IMEI号的倒写,UA字段和USER-AGENT包含手机型号、安卓版本号,PM2有很长的加密串包含什么不可告人的就不知道了。
同时测试了搜狗输入法3.1.1,默认打开云输入。但启用搜狗输入法时,会提示将收集用户输入信息的告警。
当选用中文输入时,按多几个字母,在选词条上面会显示小云标志,此时通过抓包,发现搜狗收集了用户信息,包括输入内容,手机IMEI号,和该输入法软件来自于哪个安卓市场,输入内容是POST提交的。
这是启动时的告警信息。
r字段里是包含该输入法安装来源于哪个安卓市场,H字段是手机IMEI号,POST内容是输入内容。
不甘心啊,下载个GOOGLE拼音输入法2.0.1版本,启用输入法时,会提示将收集用户输入信息的告警。
但所有输入过程中,都没有抓到上传数据的包,至少HTTP协议下没有抓到包。。。
启动时的告警信息
输入这么长的字母,等待了两分钟,没抓到HTTP包。
我只想说,任何企业都不应该以任何借口来偷用户隐私信息。
漏洞证明:
百度输入法版本3.1.5,默认打开云输入法。
当选用中文输入时,按多几个字母,在选词条上面会显示小云标志,此时通过抓包,发现百度收集了用户很多信息,包括输入内容,手机厂商,手机型号,安卓版本号,手机IMEI号,还有一串很长的加密字符串。更主要的是,这些信息都是通过GET方法提交的。。。会记录到服务器日志里。。。
PY字段是输入内容,PRD和UID字段是IMEI号的倒写,UA字段和USER-AGENT包含手机型号、安卓版本号,PM2有很长的加密串包含什么不可告人的就不知道了。
同时测试了搜狗输入法3.1.1,默认打开云输入。但启用搜狗输入法时,会提示将收集用户输入信息的告警。
当选用中文输入时,按多几个字母,在选词条上面会显示小云标志,此时通过抓包,发现搜狗收集了用户信息,包括输入内容,手机IMEI号,和该输入法软件来自于哪个安卓市场,输入内容是POST提交的。
这是启动时的告警信息。
r字段里是包含该输入法安装来源于哪个安卓市场,H字段是手机IMEI号,POST内容是输入内容。
不甘心啊,下载个GOOGLE拼音输入法2.0.1版本,启用输入法时,会提示将收集用户输入信息的告警。
但所有输入过程中,都没有抓到上传数据的包,至少HTTP协议下没有抓到包。。。
启动时的告警信息
输入这么长的字母,等待了两分钟,没抓到HTTP包。
我只想说,任何企业都不应该以任何借口来偷用户隐私信息。
修复方案:
我是不敢再用百度的输入法了。。。。你呢。。。。
版权声明:转载请注明来源 kebi@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝