搜狗浏览器爆表单漏洞导致大量客户资料被盗,这是真的吗?
之前,问题一出来,我就发表了一个状态说:360看来又要和搜狗掐起价了,坐等围观。
事实上,问题到底出在哪,我也一直没有仔细去追踪溯源地去研究。今天上午在地铁上看到了山寨发布会上的一篇文章,基本符合我个人的看法。
贴在下面(来自山寨发布会的微信平台)
——————————————————————————————
文/谢筱萍(《每日经济新闻》 山寨发布会成员)
昨天,搜狗又被狂黑了。对搜狗被黑本身不来气的,来气的是,搜狗本身漏气了——对这么明显的被黑,反应太慢,就像只被放了气的玩具狗。
这场黑狗战役呢,特别鲜明地体现了当下互联网行业,常用来恐吓小白用户的几个手段。筱瞧姐来给大伙儿分析分析。
手段一:善意提醒,扩大负面。
我们看看搜狗被黑的这条代表性公告:
【搜狗重大安全漏洞】用户反馈,使用QQ授权登陆搜狗浏览器,会同步其他用户的账号密码,包括银行、支付宝。经验证,这是搜狗浏览器将大量用户账户密码及收藏夹同步到了他人电脑所致。360已紧急通知国家互联网应急中心和搜狗公司。请搜狗浏览器用户务必修改所有账户密码,在搜狗修复漏洞之前暂停使用。
这段 善意提醒的目的很明确——告诉用户暂停使用搜狗。这段文字是哪发的?中国不会有第二家,360呗。
有这么严重吗?不管信息真伪如何,要第一时间公布到所有公众场合;说是要善意提醒,其实也可以理解为,是要告诉一切互联网安全犯罪分子,这儿有个漏洞,大家可以从这儿进去,大大地去犯罪。
如果按照这一做法,微软当年IE上的漏洞多了去了,应该有人天天像360这样,不停地天天发布暂停使用,那微软早就被暂停死掉千百回了。
但是,不管怎么样,小白用户都是宁可信其有,不会信其无的,他们通常也没那个技术和耐心验证传言真假,大不了换个浏览器呗。这样啊,目的就达到喽。
手段二:用户反馈媒体报道,撇清责任
蹊跷之处又何止于此,请看:用户反馈,使用QQ授权登陆搜狗浏览器,会同步其他用户的账号密码,包括银行、支付宝。这事不是360说的啊,是用户反馈的,所以,对此,360不要负责任。为什么360怕负责任呢?因为用户反馈说——使用QQ授权登陆搜狗浏览器,会同步其他用户的账号密码,包括银行、支付宝,这事闹大了。把银行、支付宝也扯上了。但扯上银行、支付宝的,不是360,是用户,与360不相干。
因为360知道,这是典型的恐吓用户啊。这个责任付不起啊!
有同行提醒筱瞧姐说,事实上要验证这个视频谎言最好的第三方是阿里,只要证明支付宝和淘宝密码不可能被云存储,那谎言就不攻自破了。
筱瞧姐特意问了阿里的童鞋,据阿里童鞋透露,支付宝的密码是无法保存的,必须安全控件,安全控件是无法保存密码的哦,而淘宝的情况则是可选的,只要用户勾选了安全控件登录后就无法保存密码了,但是,筱瞧姐也提醒大家:默认状态下是可以保存密码的哦,因为网页不保存,由浏览器代劳了。
看看,看看,360为什么要说是用户反馈了吧。即使证明了浏览器保存支付宝密码是谎言,那这个谎也是用户撒的,360只是不明真相的围观群众。
不过,从某种意义上讲,360还是有了进步,这次是据用户反馈,大家还记得上次吗?那次它的某个产品说竞争对手产品有漏洞偶风险,是据媒体报道的哦。
手段三:权威语气,坚决黑锅
细看这个公告,还有更诡异的呢。后面一句:经验证,这是搜狗浏览器将大量用户账户密码及收藏夹同步到了他人电脑所致。这个经验证,是谁验证的,不知道,此语无主语。你可以理解为是360验证的,所以,你知道这很权威;当你要追究这个经验证人的责任时,你也可以理解为不是360干的。多么巧妙的语言啊。
手段四:读图时代,视频得有
相比于文字,人们总是容易相信眼见为实的视频。所以黑人的时候,附上个截图啊视频啊神马的最权威了。可是视频就一定是真的吗?现在剪辑视频可是十几岁孩子都会的事哦。
而事实上,果然有惊喜,筱瞧姐测试了一下,未能重现漏洞,而筱瞧姐QQ登录后,也未发现有下载任何数据(筱瞧姐的QQ是首次登录哦),这都不是问题的关键;关键在于,在所谓的搜狗漏洞视频中,登录后有长达2分钟的时间跳跃(有兴趣的童鞋可以看视频右下角时间是从51跳到53)这样不完整的剪辑视频给筱瞧姐的第一感觉就是:证据力不足。
为什么这么说呢,很简单,可以合理怀疑,操作者在2分钟跳跃中另外登陆了一个QQ号。
以筱瞧姐仅有的技术认知来看:保持视频的连续性是最基本的要求。以安全专家标榜自己的360,能够解释这个吗?
手段五:论坛发帖,门户洗稿
当然,筱瞧姐还可以追要寻源,看看这场闹剧是怎样泡制出笼的。
昨天早晨8点42分,网名叫@阿波通网络的微博爆出:根据卡饭网友爆料,搜狗浏览器存在重大安全漏洞,用户通过QQ账户授权登陆搜狗浏览器,可以查到大量其他用户的账号,包括银行、支付宝等涉及用户财产的账户信息,甚至可以直接进入其他人的银行,网购账号,进行转账或支付交易。该微博下面还上传了视频作为证据。
而越追究越有趣啊,这个爆料人,也是根据一个卡饭网友爆料来写的。而这个卡饭网友在哪?不知道,知道的是,也不知是@阿波通网络还是卡饭网友,还,这么专心,这么细致,这么有耐心地,上传了视频作为证据。这几乎已不是阴谋,而是阳谋了——赤裸裸地上阵了。
果然,接着见底了。晚间,筱瞧姐的铁杆粉丝花边社发文说,那个卡饭发帖人居然声称账号被盗用,早上的帖子非其本人所发!!!
这个事情的过程还原:昨天早晨,有人盗了卡饭网友的一个号,将事先准备好的黑搜狗的漏洞恐吓文字放上了卡饭。这一做法,最大的好处是,造这个谣,就可以做到与公安躲个小猫猫——公安不是说,网络造谣会被判刑吗?咱这个,你抓不到哦。
谣源找不到,下面操作就简单了:当然是新浪微博上有个@阿波通网络的,发现这个帖子,然后将它放了出来。
再接着,就到了360直接披挂上阵了,直接发微博了。而它的传播路径也很有意思哦,新华网转载的是中国网的稿子,放在了华人频道,36氪的稿子是一个号称社区投稿的,里面行文直接用了的口吻,新浪科技直接转载了IT之家的稿子,作者笔名山周。
这样一来,终于有了一条惊天动地的漏洞消息让人们暂停使用搜狗了!
但有一条,所有的消息源,你能找到任何一个真实的人名不?没有。除了360自己跳出来据用户反馈。
所以啊,互联网时代,要把一个本来不存在的事洗成媒体报道,其实没啥大难度,找几个社区发个贴,配个截图视频,再找几个加V微博转发下,自然有把关不严的网络媒体跟进,在微博上再次发酵;然后一般就会有不懂行的纸媒领导好像看见了行业大事,马上布置跟进,最后一件子虚乌有的事儿就在纸媒上落地了。被冤屈的公司怎么办?没办法啊,受众天然都相信负面。这么冤枉几次之后,您就等着六月下雪的时候,去跟瑞星杀毒啊金山毒霸啊相会吧。
而事情到了最后,也最意思了,360安全卫士终于又发了一个微博,是这样写的:
正告搜狗:提醒用户修改密码,比掩饰漏洞更重要!搜狗浏览器漏洞真实存在,360安全中心接到用户反馈后,已多次测试,并经过公证处录制具有法律效力的视频资料。搜狗存重大安全漏洞 公证视频原版我们希望看到此消息的朋友,马上通知您身边曾经使用过搜狗浏览器的朋友,尽快修改密码,减少损失和风险!
这一次,是360直接拿出了一段证据视频。不过,这段视频,与早晨的那个,是不是一个人操作,筱瞧姐不说,自己看。
说这么多,看官应该知道是怎么回事了。
截止筱瞧姐发稿之时,有网友已经对此表示不满,看这位网友是怎么说的:尼玛倒不如直接拿把刀去互砍,这样至少不会危害到无辜的人民群众,你妹的,别拿用户的利益开玩笑,把我们当猴耍。
可大家也看看搜狗的反应,多慢,多无力。难怪经常有用户、媒体会老惦着你。
在这里,筱瞧姐给搜狗的童鞋们友情提醒:对于这场战争,应该更多底从技术上阐述来否认这些所谓的漏洞之说,支持到更多的专业的技术人员,这类程序猿一般都颇有正义感,而且科学的东西谁敢说谎?那就是不专业,你们啥也不说,只否认结论,那对于我们这些不懂技术的小白来说,不管正方反方都只能推测或合理怀疑,反而给360搅混水的空间。
最后最后,筱瞧姐还要为苦逼的媒体们写一段温馨小提示,这些们往往知道真相却被编辑逼着要写一些很无趣的稿子,有的时候甚至因为自己对技术不够全面了解无法判断信息的真伪,筱瞧姐特意请教了一些技术大拿,希望对各位同行有所帮助。
链接在这:恐吓小白用户五大绝技 by 谢筱萍
