卡饭论坛上,智量安全的研发人员公布了一篇对搜狗输入法的分析报告,疑似后台收集用户数据。以下让我们一起来看一看。

原文中指出,在安装搜狗输入法后,莫名其妙就多出了搜狗浏览器。
161811yfffsygpv22d2ddf.png.thumbf03d8a0b4ffc36fa.png
不过一个输入法竟然有三个进程?
162443io6opogtvq09wp2l.png.thumbbd4157ac60e81707.png
还有一个搜狗安全中心,输入法为什么有安全中心?没关系,可能是看到我电脑太不安全了,继续。。。

问题主要在于SougouCloud.exe, 此程序运行后内存加载了4个DLL,地址靠前的一个DLL里面有一个字符串
“sogoumemdll expand code begin”意思就是搜狗内存DLL即将展开,感觉很牛逼,不过一个输入法为什么要内存加载DLL呢?
第4个DLL中有字符串"http://ping.acc.sogou.com/lotusdll.gif?IDll=8". 考虑到卡巴斯基报毒名,应该是SougouCloud.exe使用了隐蔽加载
动态库,再加上字符串和卡巴斯基特征撞车, 所以卡巴报告内存病毒。所以被卡巴斯基报毒的用户不必紧张.

再继续查看第2个DLL,有意思的东西就多了, 这感觉是要把用户底裤都看光的节奏啊。。

比如:

  1. 搜集IE收藏夹的网址:
    163934kj1ij186y88tv1lj.png.thumbc328e5c32a306bea.png
  2. 还有各种快捷方式的收集:
    266be7cd35e64d85f.png

可以看到发往服务器区分数据类别的名称是zoo, 难道是把用户当动物的节奏吗?

  1. 各种浏览器信息探测:
    3b1d7b697f829a28c.png
  2. 探测杀毒软件,对360采用进程遍历的方式判断是否存在,并将信息连同当前时间一起上传到服务器.
    腾讯电脑管家则使用判断qqpctray.exe是否在文件系统存在的方式判断. 还通过注册表检测:

47189448c7f997e33.png

最后用户的种种信息就成就了这个网站 http://bigdata.sogou.com/serv_tag.html
59dedde6e59ea0c7c.jpg

Last modification:February 10th, 2020 at 06:38 pm
您的打赏,将全部用于服务器购置及域名续费等,以保证诸如跬步图床等的免费服务