龙江电脑维修服务第一站!
当前位置: 码报资料2017大全 > 新闻资讯 > 行业资讯 >
行业资讯

2018年92期码报:360公司所谓的安全卫士:“癌”性基因大揭秘

来源:七彩阳光电脑科技 作者:管理员 发表于:2013-04-27 13:05  点击:
内容介绍

码报资料2017大全 www.frzny.tw 核心提示: 360到底怎么了?这是一家什么样的企业?带着这样的疑问,《每日经济新闻》记者经过数月调查,并在微博名人“独立调查员”等一批程序“猿”的帮助下,揭开了360的层层内幕。 本文来自织梦

360黑匣子之谜:奇虎360“癌”性基因大揭秘 dedecms.com

每经记者 秦俑 dedecms.com

昨日(2月25日),正是奇虎360所有APP产品被苹果全面下架一个月的日子。 内容来自dedecms

就在此前,360的CFO亲赴美国“负荆请罪”,但360相关产品并未重新上架。

内容来自dedecms

知情人士向 《每日经济新闻》记者透露,国家版权局内部已讨论确定,360搜索引擎严重违反Robots国际规则,目前正在拟定相关处罚决定,近期将在行政处?;嵋樯显鹆?60停止侵权,进行整改。

织梦内容管理系统

据悉,有“两会”代表委员正在草拟严惩不正当恶性竞争破坏产业,以及“3·15”应该将隐私?;ち腥胫氐愕囊榘柑岚?。 dedecms.com

《信息方略》的一份调研结果显示,回答“拒绝安装360”的企业比例高达60%。 织梦内容管理系统

一家以声称安全起家的互联网公司,正面临“不安全”的声讨……

内容来自dedecms

360到底怎么了?这是一家什么样的企业?带着这样的疑问,《每日经济新闻》记者经过数月调查,并在微博名人“独立调查员”等一批程序“猿”的帮助下,揭开了360的层层内幕。 织梦内容管理系统

360创始人周鸿?一直对外宣称,360成功的秘诀是 “破坏性创新”。但记者调查发现,360的成功,更重要的是在于其“创新型破坏”:破坏才是目标。通过破坏,打破既有规则,从中获得市场与利益。 copyright dedecms

而这一破坏的基础,便是对互联网世界最基本的准则——最小特权原则的践踏。

copyright dedecms

为全面还原360的真实面目,“独立调查员”们以超人的技术能力与艰辛的劳动,剥茧抽丝般一层层揭开,将其内部机制破解成功。

copyright dedecms

360发家于 “360安全卫士”、“360安全浏览器”,而这两款产品甫一面世,便携带了这家公司的癌性基因:以违反“最小特权原则”为基石而构建。

织梦好,好织梦

《每日经济新闻》记者第一次查清,360是如何在其庞大的以安全著称的“安全卫士”、“安全浏览器”软件中,植入非法程序,并通过该非法程序中的“后门机制”与360云端配合,形成全球独一无二的秘密内部机制。 内容来自dedecms

最令人惊诧的,是即使在360内部也属高度机密的 “V3升级机制”。当360要发动一场讨伐竞品的战争时,其便启动“V3机制”——通过“安全卫士”、“安全浏览器”,在用户电脑中私自卸载竞争对手的产 品,私自安装自己要推广的产品,从而以最便捷的方式一举占领市场,这就是360常胜不衰的真正秘诀。 织梦好,好织梦

在这场看不见的战争中,360表现出两个粗暴:粗暴侵犯网民的合法权益(隐私权、知情权、同意权)、粗暴侵犯同行的基本权益,肆无忌惮地破坏行业规则,从而实现其“一枝黄花”式的疯狂成长。 本文来自织梦

360现象,不仅对行业有巨大的破坏性,对互联网秩序产生严重的破坏力,更是对整个社会产生“癌性浸润”。

织梦好,好织梦

这种“癌性浸润”,让原本的市场竞争转向了底层控制力的交战?!睹咳站眯挛拧芳钦呋裣?,百度即将砸重金投向安全领域,最快将于今年上半年正式推出,这与经历“3Q大战”的腾讯进驻安全领域如出一辙。

copyright dedecms

更为可悲的是,为了防御360的“癌性浸润”,从底层控制到应用层几大巨头均涉足其中,这样带来的直接后果就是,未来中国互联网将变成一个腾 讯、百度、阿里、360“四国顶立”的擎天柱式体系。而这将让一个个丰满、丰富的热带雨林式生态环境变成巨无霸们为生存而生灵涂炭的地方。

copyright dedecms

360会“立地成佛”么?这或许会是一场持久战…… 本文来自织梦

《每日经济新闻》将持续关注。

copyright dedecms

(出于?;ぜ钦呷松戆踩目悸?,本组稿件记者署名均为化名) 织梦内容管理系统

调查员独白:我为什么反360? copyright dedecms

我先讲一个故事吧。

copyright dedecms

在现实生活中,我们都知道一个最简单的常识:小区的保安公司都是必须向业主收取服务费的。但是,某年某城市的一个小区,来了一个K保安公司,宣布他们将为小区提供免费服务。经过几轮波折,最终K保安公司实现接管小区保安业务。 本文来自织梦

K公司入驻后,当然全部换上K保安人员,并迅速换上K公司特产的小区监控系统——在小区的每一个视角都安装了监视体系。业主们觉得,这真是天下难找的大好事啊,居然能够免费获得最好的安全保卫。 织梦内容管理系统

不久,K公司出于安全考虑,将物业公司辞了,换上K安全物业公司;再接着,小区园林服务公司也换成K安全园林公司;再接着,业主所有私家车都装 上了K安全GPS导航;再接着,K安全物流、K安全农贸、K安全服饰、K安全电视、K安全电脑、K安全冰箱与热水器、K安全门控与门锁……小区业主的所有 一切都被换上了K安全的标志。

织梦好,好织梦

K安全公司能将业主的这一切统统换掉,只有一个原因:那就是,这一切“安全”方面的服务,都是免费的。 dedecms.com

但有一天,B业主夫妇在家中行房事时,黑暗中发现家中有异样,打开灯一看,一个保安正在床前监控着这对夫妇的云雨过程。这对夫妇羞愤难当:你是怎么进来的?

内容来自dedecms

保安说:我有钥匙,出于对你们性生活安全的考虑,我有权?;つ忝?。 dedecms.com

B业主夫妇找来安全方面的专家,来?;ぷ约旱陌踩?,结果却发现,保安不仅在夫妇行房事时可以进来“免费观赏”,他们在任何时候都可以自由进出业主的房间;他们不仅在小区的任何公共空间安装了监控系统,同时在业主室内的任何一个视角,都秘密安装了监控器。 copyright dedecms

这对夫妇决定召集全小区业主反对K保安公司的所有侵犯行为。 本文来自织梦

但让小区所有业主异常惊讶的是:就在开庭前一天,网络上突然出现大量B业主夫妇的信息,比如,B业主女臀部有三颗痣的图片在网络上大量流传;B业主夫妇的工资单被晒;B业主男与前女友10年的情书来往从其前女友的电脑中被挖出来。

dedecms.com

B业主夫妇顿时陷入网络漩涡

本文来自织梦

…… 织梦内容管理系统

在中国互联网领域,360所充当的,就是这个K保安公司。 dedecms.com

在中国,为什么360能够获得如此重要的市场地位,除了用户在隐私权、知情权、网络自主权方面的意识不强外,最大的问题还是中国网民对互联网来 说还是“小白”,他们没有办法看清360干了什么,也没有办法辨清什么是可行的,什么是不可行的;也不清楚360的一些行为在今天意味着什么,在明天又将 意味着什么。 织梦好,好织梦

我脑海中,一直在重复卡夫卡小说《城堡》中的场景,你不知为什么,你也不知是怎么了,然后,你就任人宰割了。

本文来自织梦

森白的月光下,那把霍霍磨着的长刀…… dedecms.com

——来自独立调查员的自白 织梦内容管理系统


技术篇 copyright dedecms

360:互联网的癌细胞

dedecms.com

每经记者 秦俑

copyright dedecms

深圳,红树林,旁边就是深圳湾公园,有蜿蜒的海堤风景带;海的那端是云雾间的山峦以及错落的建筑,那是香港特别行政区。 dedecms.com

经过前期网上100多天艰苦的技术交流后,《每日经济新闻》记者终于约到了“独立调查员”。这是我们之间的第二次见面。这一次,我们相约只做一件事情:将360(奇虎360科技有限公司,本文简称为360)在幕后所做的一些难以见光的行为,在网上重新演绎一遍。

copyright dedecms

这一过程漫长而复杂。几天几夜里,独立调查员展开的网络实证让人触目惊心,许多动态的过程无法通过平面文字呈现。事实上,独立调查员曾经在网上披露的内容,绝大多数网民也不可能看懂。 dedecms.com

2012年10月,一个署名“独立调查员”的微博开始向360发难,时至今日,《每日经济新闻》记者已跟踪此人整整3个月:初始时基本上通过网络实现沟通,渐渐地,有了电话中的直接交流。

dedecms.com

在思维碰撞中,记者发现,“独立调查员”对360的反感是深切的;他对360的研究也是深刻的。令《每日经济新闻》记者万分好奇而且不解的是:他的动力来自何方? 本文来自织梦

“如果你得了癌症,你的第一反应是什么?”独立调查员反问道,“那一定得赶快把它切除掉!而360正是网络社会的毒瘤。此瘤不除,不仅中国互联网社会永无安宁之日,整个中国都永无安宁之日。” 内容来自dedecms

独立调查员分析说,不要小看了苹果对360产品下架一事,这种下架的期限极有可能是“永久性”。为什么一个在中国能够获得如此巨大影响力的公 司,会在一家全球性大公司处遭遇截然相反的待遇?“这只能说明眼下的互联网空间没有能力排除自身的毒瘤。而苹果下架360,背后正体现出对肿瘤的自体免疫 排斥性,这是一个网络社会健康的标志。” 织梦内容管理系统

独立调查员认为,他作为一名程序员,就是要从技术层面来理清360这个“DNA”的基因突变。“这个突变的基因,就是360安全卫士或360安全浏览器,一切都会发生改变。”

本文来自织梦

互联网其实与人体一样,本身具备着抗癌的免疫力。一旦发现癌细胞,自身会启动自动识别与排斥机制,比如“最小特权原则”就是互联网江湖防止自身“癌变”的免疫机制。

织梦好,好织梦

所谓最小特权 (LeastPrivilege),指的是“在完成某种操作时所赋予网络中每个主体 (用户或进程)必不可少的特权”;最小特权原则,则是指“应限定网络中每个主体所必须的最小特权,确??赡艿氖鹿?、错误、网络部件的篡改等原因造成的损失最小”。

dedecms.com

这一特权最通俗的说法就是:你不要代替用户行使权力,你的特权越小越少越好。这样,才是对用户最大的?;?。能不作为处,不作为。 织梦内容管理系统

“而奇虎360的‘基因变异’正体现在此处,表现为 ‘奇虎360原则’——以安全的名义,在用户知情或不知情的情况下,直接代表网民行使权益。”独立调查员说,“其实,最小特权原则非常简单。比如一个电话 检查员,为了检查你家的电话是否正常好使,便在主人不在家时,直接打开你家的门,试用了一下电话;或者说,因为你家的狗在叫,物业打开你家的门,直接将狗 杀了。这都是违反了最小特权原则。而360最大的问题就是以安全的名义,践踏了这一原则。” 本文来自织梦

360是如何通过环环相扣的程序设计,就像本文开头部分的K保安公司监控业主夫妇房事一样,或就像电话检查员径直打开主人房门查线一样,或就像 物业工作人员直接打开业主房门进去把主人的狗杀掉一样,在用户的电脑里横冲直闯、恣意妄为?本文将为读者揭开360相关产品背后的层层暗箱操作链条。

copyright dedecms

技术篇之一·黑匣子

内容来自dedecms

360产品内藏黑匣子:工蜂般盗取个人隐私信息

内容来自dedecms

每经记者 秦俑

dedecms.com

这是一件真实的事情:多年前,业内一家知名IT公司一个产品将上线,但蹊跷的是,该产品上线前一天,360的同类产品突然上线。而且,360上 线产品的页面与该公司准备上线的版本几乎一模一样。这家IT公司的此款产品不上线已不可能,而改版也已不可能。被逼无奈之下,该产品只能硬着头皮上线。让 这家IT公司哭笑不得的是,由于此款产品上线时间比360同类产品晚一天,所以用户普遍认为,该公司的产品抄袭了360产品。 织梦内容管理系统

此类诡异怪事,在业内已不止一次发生。 copyright dedecms

谁是泄密者?上述IT公司最终未能找到“卧底”,不过开始将质疑对象聚焦在360产品身上。因为实查结果发现,该公司不少员工电脑上安装了360相关产品。

织梦好,好织梦

出于安全考虑,该公司要求所有员工的工作电脑中不得安装360产品。与此同时,公司内网环境中,全面禁止360产品。从此,确实没有再发生过类似的泄密情况。 织梦内容管理系统

据《每日经济新闻》记者了解,国内最早全面禁用360产品的企业为腾讯、百度、金山等一批公司。在这些公司的办公环境中,完全屏蔽360产品,如确因公司研究性工作需要,才可以安装虚拟机使用360产品。 dedecms.com

国内几家互联网巨头公司,均以安全为由禁止使用一家以互联网安全著称的公司的相关产品,这在中国IT界构成了一道未解的谜团。

织梦好,好织梦

大型公司尚且对360产品避之不及,对于普通用户来说,使用360相关“安全”产品,安全吗?

内容来自dedecms

在中国有“黑客教父”之称的安全技术专家“黑客老鹰”,即IDF互联网情报威慑防御实验室创始人万涛认为,从隐私?;ず陀没ㄒ娴慕嵌?讲,360产品确实存在需要澄清的地方。但中国用户目前在隐私?;し矫娴囊馐恫⒉磺?,这是一个比较普遍的现象。因为对许多用户来说,“我上网就是看看新 闻,玩玩游戏,我没有隐私”。这一观点非常流行。

织梦内容管理系统

万涛表示,而在另一方面,多年来尽管民间在破获360侵犯隐私等方面做了许多努力,并查获了许多证据,但360在这方面的“反应”也非常“严密”。此外,获得的一些突破性证据因为过于专业,也不易让普通用户看懂,因此也就缺乏相应的感知。

本文来自织梦

黑客揭秘:360安全产品背后的“安全”陷阱/

织梦内容管理系统

在深圳红树林,独立调查员为《每日经济新闻》记者进行了现场演示。他特意在自己的电脑上安装了360安全浏览器,并打开网络通信监视工具,这时可以看到,360安全浏览器在其电脑后台上就像一只工蜂,始终不停地忙碌着。

织梦好,好织梦

然后,独立调查员又打开IE、腾讯、猎豹、chrome等浏览器,每一个浏览器都很安静,没有任何动作。 dedecms.com

内容来自dedecms

“360安全浏览器在干嘛呢?谁也不知道。为什么要这样忙碌呢?作为浏览器,其作用就是可以显示网页服务器或者文件系统的HTML文件内容,并 让用户与这些文件交互的一种软件。根据最小特权原则,你是没有理由在我的电脑里不停地‘工作’。你要问他在做什么,他就说,是为了你的安全。”

内容来自dedecms

“明明知道360在做不应该发生的事情,但不知道发生的是什么事情。这就是360留给中国所有安全专业人员最大的课题。”独立调查员解释说,这是因为360在这方面做了非常缜密的设计,其防御体系相当严密,要突破防线有所收获,是件非常困难的事情。 本文来自织梦

而这,也正是许多从事安全的专家们感兴趣的事情。

织梦内容管理系统

2010年2月6日,360多年的宿敌——瑞星拿出了一份 “证据”,其发布的《奇虎360利用“后门”拿走了用户什么》一文,利用大量技术细节说明360安全卫士在安装进用户电脑时,会偷偷开设后门,并时刻监视用户访问网站,将相关信息上传至360网站。

本文来自织梦

此事标志着360第一次露出“不安全”的真面目,从此一发而不可收拾。

内容来自dedecms

据《每日经济新闻》记者调查,国内有一大批黑客对破获360的防线,以及搞明白360这个黑匣子内到底有什么非常感兴趣,想通过攻击360而获 得其侵犯用户隐私信息的证据。他们之间甚至有一个松散型的组织,经常交换这方面的信息。但与此同时,也有些黑客最终被360“招安”,成为其公司成员。

本文来自织梦

2010年12月31日,在黑客狂轰滥炸360服务器后,360防线被攻破,存储于其服务器上的大量用户隐私数据喷涌而出,被谷歌搜索爬虫自动抓取,并公告天下。360多年来宣称的 “用户隐私大于天”的谎言正式被揭穿。

dedecms.com


上图为某网民通过360safe.com泄露的数据登录某政府机关的内部邮箱 内容来自dedecms

这份意外泄露的文件详细记录了大量360用户的全网访问过程,包括浏览的网页、下载过的应用、搜索的关键字等,并将这些访问记录与唯一用户挂 钩。在这个服务器中,每个用户对应一个字符串,通过查询字符串,可以了解用户的所有个人信息、上网浏览记录、账号密码,例如用户在百度搜索关键字、淘宝购 物记录、金蝶、奇瑞等企业内部财务网络数据、某政府机构官方邮箱用户名及密码等链接数据。 内容来自dedecms

《每日经济新闻》获得的一份对泄露日志文件分析统计的结果显示,此次泄密事件涉及总条数141万条,其中涉及用户名信息的条目有247326 个,既包含用户名又包含密码条目有816个。而这对于360收集的海量数据来说只是冰山一角,截至目前为止,360从没有公开解释被泄露的数据总量有多 少,被下载了多少次。

dedecms.com

然而,有关360如何“利用”用户的信任,如《全民公敌》影片中的卫星一样“间谍”式地监控着用户的电脑,这个谜团却依然没有办法破解,至今没有一家安全厂商拿出这个过程的有力证据。

织梦内容管理系统

独立调查员告诉记者,360安全卫士、360安全浏览器,其内部运作流程就像一个暗箱,外部人可以听到里面有动作,但却没有办法知道里面发生了什么,以及它如何阻止外部人破解它。 本文来自织梦

而独立调查员却偏执地选择了这条破解之路。他先制作了一张简单的图表,以揭示360拳头产品360安全卫士内部的操作模型(如图)。

织梦好,好织梦


本文来自织梦

从这个图中可以看出,360安全卫士对用户在电脑上进行软件操作、文档操作等所有操作举动均秘密进行监视、记录,然后进行压缩后上传至云端服务器;过去,上传的过程为明文上传,这对用户的隐私带来非常严重的威胁,在经历过几次大的泄密事件后,目前上传文件已经加密。

dedecms.com

文件上传到360云端存储后,文件会立即在本地被删除,这招防御术非常凶狠,即使有人破解其行为,并获得文件证据,但因为随时的删除,很难将证据做实,变成死无对证的孤证。 copyright dedecms

用户电脑中的360安全卫士这一套运行机制都是事先预设好的,可以独立操作完成;但实际上,360云端(360安全数据中心)对用户客户端的 360安全卫士具备直接控制能力。360云端不仅可以下达专门的指令(后文还将详述),同时一旦360安全卫士发现有人在监视其通信操作等,会发出安全警 告以阻止继续操作并限时自行禁止。这也给破获工作带来相当程度的干扰。 dedecms.com

据一名多年研究360产品的黑客告诉《每日经济新闻》记者,“设置如此高难度障碍的人一定是行业的高手??梢远隙?,360内部一定有国内顶尖级 的黑客高手。他们才有可能做到既做暗事,又不留任何把柄。这就像是一个江洋大盗,来无影,去无踪,飘忽不定,作案后现场不留任何痕迹,实在是高精尖的设 计。” dedecms.com

这名黑客发现,360安全卫士的暗箱操作行踪越来越没有规律可循,换句话说,其运作规律经过精心策划,非常不容易被外界掌握。同时,其获取信息 的区域半径越来越由中心城市向二、三、四线城市延伸。这样的话,要想抓到证据就更为艰难。“中国拥有30多个省级行政区,336个二级行政区,还不包括数 以千计的三级、四级行政区,这就相当于360安全卫士在中国网民的生活中布下了天罗地网。”

织梦内容管理系统

据《每日经济新闻》记者调查发现,国内不止一家公司准备投入大量人力来破获360的违法行为,但最终都偃旗息鼓。原因就在于,360收集用户信息的行为 “就像空中划过的彗星,茫茫夜空,布下天罗地网,时刻守候,才有可能有所斩获,这样的投入产出比太低了”。 内容来自dedecms

黑匣子现身:对用户个人信息涉嫌暗箱操作/ 内容来自dedecms

“破解360安全卫士的非法操作,是一件很好玩的猫捉老鼠的事情。”上述黑客向《每日经济新闻》记者感叹说,360安全卫士的技术架构非常复 杂,组件有很多程序,软件包有几十个可执行的程序,还有扩展库。如果要查清楚是否侵犯用户隐私,则需要对每个程序进行分析,就像分析病毒一样地分析每个文 件,而这需要投入大量的时间和精力。 内容来自dedecms

这名黑客给记者展示了许多“同行”间来往的邮件,此中展现出破解之后的喜悦,以及经验的交流。 织梦好,好织梦


而独立调查员宣称,他“已基本破解了360安全卫士的谜局,但离发布还为时尚早”,因为他要做“铁板钉钉的事情”。

内容来自dedecms

在《每日经济新闻》记者保证不会将其操作思路披露的情况下,独立调查员将其操作的核心步骤进行了详尽的现场演示。在征得其允诺的情况下,记者可以告知的是:针对360的设置,进行反向操作,反向分析而破解。

内容来自dedecms

到目前为止,已经披露的最重要证据为独立调查员于2012年12月6日在其微博上发布的一个视频(http:/weibo.com/2902756801/z8BUvfWqe)。这份视频详尽地破解了360安全卫士秘密获取用户信息的过程。

内容来自dedecms

织梦好,好织梦

独立调查员告诉记者,这份13分36秒的视频以完整的手法记录了破获360窃取用户隐私的证据。它证明了360在用户电脑中收集、上传用户信息的“动作”,“猖狂到任何简单的、常规的软件操作行为都将被记录,与安全问题完全无关,而这些信息都在用户个人隐私范畴”。 织梦好,好织梦

但据独立调查员宣称,这份视频资料并非其采集、制作,“而是来自一名自称是安全领域专家的匿名人士”,他通过微博私信向独立调查员爆料:自己已经掌握了360安全卫士7.3窃取用户隐私并上传到360服务器的司法证据,现在可以无偿将这段司法证据给他。 dedecms.com

而关于这份证据,独立调查员认为,将是未来给360的“一颗小小的炸弹”,在法庭上是有力的呈堂证供。 内容来自dedecms

据记者了解,去年11月28日,在易观国际主办的“易士堂”网络安全论坛(第二季)论坛上,这份视频资料也曾分享给包括国家信息中心、中国信息 安全测评中心等安全业界人士;而最初制作这段视频并进行司法公证的正是金山安全专家李铁军。不过李铁军否认自己就是给独立调查员爆料的匿名人士。 织梦内容管理系统

据李铁军透露,2010年11月,卡饭安全论坛有人爆料称“360安全卫士7.3的某个版本会窃取用户隐私上传到360服务器”,爆料的内容非 常简单,只提供了一个有趣的细节暗示:需要用户在360loginfo目录对删除权限做一个修改才有可能捕捉到360的罪证,帖子不久就消失了。

本文来自织梦

李铁军首先尝试重现帖子描述的问题,而不是对软件进行逆向分析,经过数月才完成了这一个证据的抓取。 内容来自dedecms

“反反复复不知道试了多少回。”李铁军对《每日经济新闻》记者表示,凭借多年的经验,他终于找到了关键所在,比如有窃取隐私问题的360安全卫 士版本号为7.3.0.2003l,数字签名时间为2010年11月8日,要想重现必须将360loginfo访问权限修改为“所有人不可删除”;再比如 安装时修改系统时间与2010年11月8日不能相差太久,安装前须断开网络(禁用网卡或拔网线)。 本文来自织梦

即使这样,也有一些情况在李铁军“意料之外”。 内容来自dedecms

“开始想到的是禁用网卡和改360loginfo目录的访问权限,但奇怪的是,有时能在安装后几分钟内即可在360loginfo目录看到日志 生成,有时等几小时都不能重现,于是尝试将系统日期从单数修改为双数或从双数修改为单数,结果很快看到奇怪的日志文件出现了。”李铁军表示,这几条重现规 则是反复多次尝试之后才总结出来的。

本文来自织梦

而上述结果也在曝光之后第一时间得到IDF互联网情报威慑防御实验室的验证。2012年11月25日,该实验室发布报告表示,360安全卫士 v7.3.0.2003l所搜集用户软件操作信息,对用户隐私造成风险,若用户运行 某 一 程 序 ,360安 全 卫 士v7.3.0.2003l会把程序所在路径搜集并未经加密上传至360服务器。若360公司所存放信息的数据库泄露或传输数据被黑客截取进行社工分析, 可造成用户的信息泄露。

内容来自dedecms

万涛对《每日经济新闻》表示,根据之前的评测报告,360安全卫士v7.3.0.2003l对用户信息的处理涉嫌未遵守其中的用户知情权、选择权及禁止权,并在未获得个人信息主体的明确同意下记录和上传用户行为数据。

织梦好,好织梦

值得注意的是,已于2月1日正式生效的我国首个个人信息?;す冶曜?《信息安全技术公共及商用服务信息系统个人信息?;ぶ改稀访魅饭娑?,个人信息获得者在收集个人信息时,需“具有特定、明确、合法的目的”?;诖?,在收集 前要采用个人信息主体易知悉的方式,向个人信息主体明确告知和警示如下事项:处理个人信息的目的;个人信息的收集方式和手段、收集的具体内容和留存时限; 个人信息的使用范围、被收集后的个人信息?;ご胧?、个人信息主体的投诉渠道;同时提醒个人信息主体提供个人信息后可能存在的风险和个人信息主体不提供个人 信息可能出现的后果。且“只收集能够达到已告知目的的最少信息”。而信息获得者如需将个人信息转移或委托于其他组织和机构时,也需要向个人信息主体明确告 知转移或委托的目的、转移或委托个人信息的具体内容和使用范围、接受委托的个人信息获得者的名称、地址、联系方式等。 织梦内容管理系统

很明显,360公司在个人信息的收集、加工、转移、删除等环节,明显将行业的游戏规则抛诸脑后,一意孤行地进行着暗箱操作。 织梦内容管理系统


技术篇之二·后门

织梦好,好织梦

360后门秘道:“上帝之手”,抑或“恶魔之手”?

织梦好,好织梦

每经记者 秦俑 织梦内容管理系统

“作为宣称‘最安全的浏览器’的360安全浏览器,被发现存在极大潜在安全威胁的‘后门’。毫无疑问,‘独立调查员’是第一人。即使给他颁发一 个国家级的科技发现奖也不为过。而且,多少年后,人们一定会感谢这位幕后的英雄,为了广大用户的上网安全,做出了卓越的贡献。”百度安全部门的相关负责人 如此评价360安全浏览器“后门”发现者。 本文来自织梦

按照独立调查员的理解,所谓360的后门,不仅存在于360安全浏览器,也存在于360安全卫士。他说,“你这样来看,在你的小区,保安说,因 为安全的需要,你们要将房门的钥匙放一把在我身上,我可以随时来检查你家庭的安全。这本身已经非常大的不安全了,但你更不知道的是,这个保安公司,还在地 下挖有一条通道,可以直接从地下通过地道悄悄进入你的房间。而这个地道,就是后门。”

织梦好,好织梦

360后门秘道浮出水面/

copyright dedecms

2012年10月,当时“方周大战”正酣,独立调查员才注意到了360安全产品,因为他一直是裸机,从未想过要关注360。但这一关注,他敏锐地发现,360“非常异类”——许多行为不仅是反安全的,甚至是“反人类的”。 dedecms.com

独立调查员特意在用于测试的虚拟机中安装了全套360产品,并由此发现360产品的许多 “不规矩行为”,他随手将这些发现发布在微博上,立即引起许多关注,但也遭到一些人的攻击。“有些人明显就是360的人在挑衅,这激怒了我,我这人不喜欢 耍嘴皮子,我是软件专业人员,我只讲证据”,独立调查员如此说。 织梦内容管理系统

独立调查员发现,360浏览器网络通信有非常异常的情况,“最开始只是发现其时间周期性:每隔5分钟,浏览器就主动发起一次与服务器之间的通信过程,虽然不知道在干嘛,但其短周期性非??梢?。” 织梦好,好织梦

为什么不打开任何网页、不动键盘和鼠标,360浏览器依然忙个不停呢?“国内外所有的知名浏览器都不会存在这样的行为模式??梢钥隙?,此中必有蹊跷”。

织梦内容管理系统

于是,他继续追查,虽然下载的文件名是文本文件(ini),但当他把数据包拼接成文件后一看 (当时尚不知道服务器IP地址对应域名,受服务器限制未能通过网址直接下载文件,也尚未注意到文件被暂存于临时文件夹),实际是个DLL(可动态加载的程 序???。“以我的知识和经验,很快意识到问题的严重性——以更新配置文件为耳目、周期性下载并加载执行小程序——这是一个后门。至于360利用它做什 么、曾做过什么并非重点,重点是他们可以做任何事而不为人知、不留痕迹。” 本文来自织梦

于是,他于去年10月29日通过微博对外公布了360浏览器有后门的事实,同时公开向工信部、公安部发出了一封名为《公开举报奇虎360公司——致工信部、公安部公开信》的举报信。

织梦好,好织梦

《每日经济新闻》记者注意到,在这封举报信中,独立调查员直接斥责道:“奇虎360公司的 ‘360安全浏览器’暗藏‘后门’,是用户系统安全和信息安全的严重潜在威胁”。

dedecms.com

他举证说,360安全浏览器实为C/S架构木马系统的客户端,服务器群是se.360.cn(云架构,IP地址不定)。浏览器每隔5分钟即向服 务器请求新的“指示”。新的指示伪装成Ini(纯文本文件类型)发出,实际上是DII文件(Windows可执行程序库或资料库)等。

织梦内容管理系统

此事一石激起千层浪。不过,具有挑战的是,独立调查员的分析结果仅仅是网络分析,是“后门”机制的初步证据和技术推断,而非直接的铁证。正是因为这样,360开始在网络上对其进行质疑、攻击,甚至嘲讽。

织梦好,好织梦

“他们以为我只会网络抓包呢!”独立调查员表示。于是,为了做实360的后门机制,他决定反向分析浏览器本身的程序库,并详细分析出“后门”机制的内部执行流程。 织梦好,好织梦

然而,这并非一件容易的事情。“因为没有软件源程序、更没有设计文档,所以分析难度相当大。给你个软件,只能进行其公开可见的操作,而内部运作却完全是个黑洞。”独立调查员表示。

织梦好,好织梦

源程序(源代码)自然没有。而要通过反向工程来破解,难度相对较高,也非常浪费时间。何况360浏览器软件规模不小,而且还有很多内置的扩展程序。 织梦内容管理系统

“我首先用排除法把扩展组件挨个干掉,我删掉一个扩展组件,如果后门机制还在,说明与这个扩展组件无关。”独立调查员最开始的直觉是后门应该在 扩展程序里面,因为主程序要送检,但是当独立调查员把可见的扩展程序全部删掉后,后门还在,于是他开始删(对普通用户)不可见的扩展组件。 内容来自dedecms

“通过排除法,最后确认是扩展组件SmartWiz在搞鬼。删掉它以后,浏览器就安静了,那个5分钟一轮的上传下达活动消失了。” 织梦内容管理系统

不过,还没有结束。为了进一步查明360后门真相,独立调查员还需要反向编译出汇编代码并跟踪测试。

织梦内容管理系统

通过一系列技术过程,独立调查员掌握了360浏览器在SmartWiz整个组件里与360服务器间建立通信、下载、临时存储、加载执行、删除(销毁证据)的流程,同时也知道了其时钟控制调度机制(5分钟间隔定时器)。 copyright dedecms

360后门的安全之殇/

织梦好,好织梦

360安全浏览器设计出来的后门,恰恰给用户带来了极大的不安全。