安全厂商的产品不见得都靠谱。360浏览器近日被乌云漏洞平台曝光存在严重安全漏洞,有网友录制视频实际验证,网民通过360手机浏览器登录12306等网站购票,个人的账号及密码等私密信息均被恶意程序窃取。研究人员分析发现,只要通过360手机浏览器输入的任何信息,包括网银、社交的账号及密码等所有资料,均会遭到窃取,存在极大的安全隐患,建议使用其他浏览器或者等待360产品升级。
从视频可以看到,在安卓手机上打开360浏览器,登录12306.cn抢火车票,输入账户名和密码,选择“希望浏览器记住此密码”,此时有恶意程序运行,就已将360浏览器记录的包括账号和密码在内的Cookie信息上传至某服务器,恶意程序作者可在其他手机上立即从服务器上获取该账号和密码。
乌云漏洞平台昨日发布了一个题为“360手机浏览器缺陷可导致用户敏感数据泄漏”的漏洞公告,并对此漏洞进行了简要描述:当一个攻击app(恶意或非恶意均可以)向360浏览器发送请求要求打开一个本地页面时,可以按照攻击App的要求获取360浏览器下的所有数据,包括cookie信息等,盗取过程无需root,盗取之后可以发送给远程服务器!
乌云漏洞平台已经通知360,并得到了360的确认。截至目前,该漏洞并没有得到修复。安全专家表示,浏览器相当于通往网络世界的一把钥匙,往往记录了网民大量的个人敏感信息,包括电子邮箱、社交网站、网银、购物网站的账号及密码,如果这些信息遭窃,网民的个人隐私和资产安全就完全暴露,没有任何安全保障。
360作为安全厂商竟然出现如此严重问题实不应该。专家建议,为保障个人信息安全,网民应避免使用360浏览器,选择其他浏览器,或者等到360浏览器产品更新修复漏洞之后再使用。
附网友实证360浏览器泄露用户隐私视频: