搜狗输入法云控下发模块，“暗中”篡改浏览器配置

近期，搜狗输入法被曝出其云控下发模块存在“暗中”篡改浏览器配置的行为。火绒安全团队发现，该模块会首先检测用户设备上的杀毒软件，随后通过篡改配置文件的方式，强制修改Edge与Chrome两款主流浏览器的主页及默认搜索引擎设置。

具体而言，搜狗输入法的IME组件在加载至explorer.exe进程时会调用ImeInquire函数，检查是否开启搜索候选与搜索推荐功能。若其中一项或两项均处于开启状态，推广模块便会利用Shiply终端基础发布通用模块向云端请求控制配置，并结合用户画像进行精准下发。该模块检测到杀毒软件后会绕过安全防护，修改浏览器的配置文件，导致用户的主页和默认搜索引擎被强制更改为指定内容。

火绒团队还指出，这一篡改行为具有隐蔽性。当Chrome.exe进程处于开启状态时，对配置文件的修改不会被保存，因为关闭Chrome.exe进程时，系统会将配置数据重新写入配置文件，从而恢复被篡改的内容。这一机制使得用户难以察觉浏览器设置被篡改。

此外，火绒团队通过分析发现，搜狗输入法的推广模块主要针对Edge和Chrome浏览器，而未提及Firefox等其他浏览器。推测可能与页面设置和用户习惯有关，但也可能存在兼容性或故意绕过的问题。

这一事件引发了对输入法云控行为的担忧。部分用户建议更换为Rime输入法等替代方案，以避免浏览器配置被擅自修改。背景资料显示，火绒安全此前还曝光过伪装成搜狗输入法的病毒，采用正规签名内嵌恶意脚本手段，以规避安全检测。

技术细节显示，搜狗输入法的云控下发功能可能利用了灰度发布平台进行小范围测试，通过修改浏览器配置文件的方式实现推广目的。这种做法在用户不知情的情况下强行更改浏览器设置，涉嫌侵犯用户隐私和权限。