卡饭论坛上,智量安全的研发人员公布了一篇对搜狗输入法的分析报告,疑似后台收集用户数据。以下让我们一起来看一看。
原文中指出,在安装搜狗输入法后,莫名其妙就多出了搜狗浏览器。
不过一个输入法竟然有三个进程?
还有一个搜狗安全中心,输入法为什么有安全中心?没关系,可能是看到我电脑太不安全了,继续。。。
问题主要在于SougouCloud.exe, 此程序运行后内存加载了4个DLL,地址靠前的一个DLL里面有一个字符串
“sogoumemdll expand code begin”意思就是搜狗内存DLL即将展开,感觉很牛逼,不过一个输入法为什么要内存加载DLL呢?
第4个DLL中有字符串"http://ping.acc.sogou.com/lotusdll.gif?IDll=8". 考虑到卡巴斯基报毒名,应该是SougouCloud.exe使用了隐蔽加载
动态库,再加上字符串和卡巴斯基特征撞车, 所以卡巴报告内存病毒。所以被卡巴斯基报毒的用户不必紧张.
再继续查看第2个DLL,有意思的东西就多了, 这感觉是要把用户底裤都看光的节奏啊。。
比如:
搜集IE收藏夹的网址:
还有各种快捷方式的收集:
可以看到发往服务器区分数据类别的名称是zoo, 难道是把用户当动物的节奏吗?
各种浏览器信息探测:
探测杀毒软件,对360采用进程遍历的方式判断是否存在,并将信息连同当前时间一起上传到服务器.
腾讯电脑管家则使用判断qqpctray.exe是否在文件系统存在的方式判断. 还通过注册表检测:
最后用户的种种信息就成就了这个网站 http://bigdata.sogou.com/serv_tag.html
转载自: https://www.dnsworker.com/archives/88.html