新聞 > 科教 > 正文

媒體抨〝360〞 中國網民翻牆用谷歌

—360黑匣子之謎——奇虎360「癌」性基因大揭秘

大陸媒體《每日經濟新聞》發表長篇調查文章,抨擊互聯網安全軟件與服務公司〝奇虎360〞,是中國互聯網行業的〝惡性雜草〞和〝癌性基因〞,由於〝360〞通過綁架用戶,強制用戶做決定,對整個互聯網社會形成強大破壞力。中國一名互聯網專家表示,他對中國所有的互聯網產品都感到不安全,因此一律不用,搜尋引擎也不惜〝翻牆使用谷歌〞。

《每日經濟新聞》2月26號的文章說,〝360〞完全違背了安全廠商的基本準則。當〝360安全衛士〞軟件、和〝360安全瀏覽器〞植入用戶電腦的時候,〝360〞便在用戶知情或不知情的情況下,通過它們直接代替用戶做決定,完成各種動作。

文章說,〝360〞有兩條所謂的〝成功密鑰〞,第一,是以〝民事訴訟8連敗〞為代表的發展模式:就是先踩法律底線,以求先發展——在中國,〝360〞鑽了品牌與道德成本太低的空子;第二,就是以安全和免費名義〝綁架〞用戶,然後以安全裁判員的身份,展開〝競爭〞。

曾經擔任全球互聯網服務公司〝雅虎中國〞總經理的謝文表示,〝360〞的商業模式或服務模式的確存在問題。

前雅虎中國總經理謝文:〝我能感覺到它的比如像捆綁推廣,強制下載,未經用戶同意,就改變你的設置,所以我上過幾次,我都卸載了。這是他一脈相承下來的風格。把產品、把服務統統綁在一起。然後或明或暗、不太公正,強行推廣、強行打擊競爭對手的方式。我個人認為是不對的。〞

〝中國人民大學〞行政學系教授毛壽龍表示,他也時常耳聞用戶對〝360〞軟件的不滿。

中國人民大學教授毛壽龍:〝有時候就強制性下載,下載防病毒軟件之後,其他很多軟件就不太好用了。據說有這樣的東西。〞

《每日經濟新聞》指稱,〝360〞兩年前開始佈局電子商務安全領域,最先打出的所謂〝安全產品〞,是360瀏覽器主推的〝綠色網站認證〞。宣稱,〝360綠色網站認證〞可以確保用戶使用〝網銀〞以及電子商務的交易安全。

那麼,〝360〞是否真的具備能力取代〝網銀〞服務提供者的身份驗證體系,由自身來充當網銀的〝保鏢〞呢?

《每日經濟新聞》驚呼,一旦360大規模啟動〝各大電商推薦安全購物使用360瀏覽器〞活動,人們的網上購物都得依賴於〝360綠色網站認證〞,中國的〝網銀〞體系又將面臨怎樣的可怕變局?

前雅虎中國總經理謝文:〝為了所謂佔有率,有的時候根本不給你打招呼,就把什麼輸入法,什麼瀏覽器給你下載了。然後讓自動給你設置成默認,結果你就不得不用了。這種有點強迫性質、強姦性質的推廣,我是非常反感的。所以我就不用。〞

此外,謝文表示,〝360〞還可能記錄用戶的行為,然後推送廣告,甚至用戶在自己機器上的全部行為都被記錄。

前雅虎中國總經理謝文:〝我乾脆就迴避了,我都不用就算了。這是一種心理感覺。就跟北京大氣污染一樣,你說這個污染嚴重到什麼程度也不一定好說。但是你看這霧蒙蒙的天,你就感覺一種心理威脅。沒有條件,你沒有辦法,你只好有忍着,有替代物,干同樣的事情有其他更可信一些公司的產品,為什麼不用好東西呢?〞

謝文說,搜尋引擎他也堅持只用〝谷歌〞,哪怕需要〝翻牆〞。

〝奇虎360〞於2月26號對外發佈聲明說,將起訴《每日經濟新聞》報社,指稱報社在未經採訪〝360公司〞的情況下,污衊360旗下多個產品的安全性,嚴重損害了公司和產品的商譽。

但《每日經濟新聞》報社一名工作人員表示,目前並未收到相關的法律文件。NTD


360黑匣子之謎——奇虎360「癌」性基因大揭秘

核心提示:

360怎麼了?這是一家什麼樣的企業?帶着疑問,記者經過數月調查,並在微博名人「獨立調查員」等一批程序「猿」的幫助下,揭開了360層層內幕。

360黑匣子之謎——奇虎360「癌」性基因大揭秘

每經記者秦俑

昨日(2月25日),正是奇虎360所有APP產品被蘋果全面下架一個月的日子。

就在此前,360的CFO親赴美國「負荊請罪」,但360相關產品並未重新上架。

知情人士向《每日經濟新聞》記者透露,國家版權局內部已討論確定,360搜尋引擎嚴重違反Robots國際規則,目前正在擬定相關處罰決定,近期將在行政處罰會議上責令360停止侵權,進行整改。

據悉,有「兩會」代表委員正在草擬嚴懲不正當惡性競爭破壞產業,以及「3·15」應該將私隱保護列入重點的議案提案。

《信息方略》的一份調研結果顯示,回答「拒絕安裝360」的企業比例高達60%。

一家以聲稱安全起家的互聯網公司,正面臨「不安全」的聲討……

360到底怎麼了?這是一家什麼樣的企業?帶着這樣的疑問,《每日經濟新聞》記者經過數月調查,並在微博名人「獨立調查員」等一批程序「猿」的幫助下,揭開了360的層層內幕。

360創始人周鴻禕一直對外宣稱,360成功的秘訣是「破壞性創新」。但記者調查發現,360的成功,更重要的是在於其「創新型破壞」:破壞才是目標。通過破壞,打破既有規則,從中獲得市場與利益。

而這一破壞的基礎,便是對互聯網世界最基本的準則——最小特權原則的踐踏。

為全面還原360的真實面目,「獨立調查員」們以超人的技術能力與艱辛的勞動,剝繭抽絲般一層層揭開,將其內部機制破解成功。

360發家於「360安全衛士」、「360安全瀏覽器」,而這兩款產品甫一面世,便攜帶了這家公司的癌性基因:以違反「最小特權原則」為基石而構建。

《每日經濟新聞》記者第一次查清,360是如何在其龐大的以安全著稱的「安全衛士」、「安全瀏覽器」軟件中,植入非法程序,並通過該非法程序中的「後門機制」與360雲端配合,形成全球獨一無二的秘密內部機制。

最令人驚詫的,是即使在360內部也屬高度機密的「V3升級機制」。當360要發動一場討伐競品的戰爭時,其便啟動「V3機制」——通過「安全衛士」、「安全瀏覽器」,在用戶電腦中私自卸載競爭對手的產品,私自安裝自己要推廣的產品,從而以最便捷的方式一舉佔領市場,這就是360常勝不衰的真正秘訣。

在這場看不見的戰爭中,360表現出兩個粗暴:粗暴侵犯網民的合法權益(私隱權、知情權、同意權)、粗暴侵犯同行的基本權益,肆無忌憚地破壞行業規則,從而實現其「一枝黃花」式的瘋狂成長。

360現象,不僅對行業有巨大的破壞性,對互聯網秩序產生嚴重的破壞力,更是對整個社會產生「癌性浸潤」。

這種「癌性浸潤」,讓原本的市場競爭轉向了底層控制力的交戰。《每日經濟新聞》記者獲悉,百度即將砸重金投向安全領域,最快將於今年上半年正式推出,這與經歷「3Q大戰」的騰訊進駐安全領域如出一轍。

更為可悲的是,為了防禦360的「癌性浸潤」,從底層控制到應用層幾大巨頭均涉足其中,這樣帶來的直接後果就是,未來中國互聯網將變成一個騰訊、百度、阿里、360「四國頂立」的擎天柱式體系。而這將讓一個個豐滿、豐富的熱帶雨林式生態環境變成巨無霸們為生存而生靈塗炭的地方。

360會「立地成佛」麼?這或許會是一場持久戰……

《每日經濟新聞》將持續關注。

(出於保護記者人身安全的考慮,本組稿件記者署名均為化名)

調查員獨白:我為什麼反360?

我先講一個故事吧。

在現實生活中,我們都知道一個最簡單的常識:小區的保安公司都是必須向業主收取服務費的。但是,某年某城市的一個小區,來了一個K保安公司,宣佈他們將為小區提供免費服務。經過幾輪波折,最終K保安公司實現接管小區保安業務。

K公司入駐後,當然全部換上K保安人員,並迅速換上K公司特產的小區監控系統——在小區的每一個視角都安裝了監視體系。業主們覺得,這真是天下難找的大好事啊,居然能夠免費獲得最好的安全保衛。

不久,K公司出於安全考慮,將物業公司辭了,換上K安全物業公司;再接着,小區園林服務公司也換成K安全園林公司;再接着,業主所有私家車都裝上了K安全GPS導航;再接着,K安全物流、K安全農貿、K安全服飾、K安全電視、K安全電腦、K安全冰箱與熱水器、K安全門控與門鎖……小區業主的所有一切都被換上了K安全的標誌。

K安全公司能將業主的這一切統統換掉,只有一個原因:那就是,這一切「安全」方面的服務,都是免費的。

但有一天,B業主夫婦在家中行房事時,黑暗中發現家中有異樣,打開燈一看,一個保安正在床前監控着這對夫婦的雲雨過程。這對夫婦羞憤難當:你是怎麼進來的?

保安說:我有鑰匙,出於對你們性生活安全的考慮,我有權保護你們。

B業主夫婦找來安全方面的專家,來保護自己的安全私隱,結果卻發現,保安不僅在夫婦行房事時可以進來「免費觀賞」,他們在任何時候都可以自由進出業主的房間;他們不僅在小區的任何公共空間安裝了監控系統,同時在業主室內的任何一個視角,都秘密安裝了監控器。

這對夫婦決定召集全小區業主反對K保安公司的所有侵犯行為。

但讓小區所有業主異常驚訝的是:就在開庭前一天,網絡上突然出現大量B業主夫婦的信息,比如,B業主女臀部有三顆痣的圖片在網絡上大量流傳;B業主夫婦的工資單被曬;B業主男與前女友10年的情書來往從其前女友的電腦中被挖出來。

B業主夫婦頓時陷入網絡漩渦

……

在中國互聯網領域,360所充當的,就是這個K保安公司。

在中國,為什麼360能夠獲得如此重要的市場地位,除了用戶在私隱權、知情權、網絡自主權方面的意識不強外,最大的問題還是中國網民對互聯網來說還是「小白」,他們沒有辦法看清360幹了什麼,也沒有辦法辨清什麼是可行的,什麼是不可行的;也不清楚360的一些行為在今天意味着什麼,在明天又將意味着什麼。

我腦海中,一直在重複卡夫卡小說《城堡》中的場景,你不知為什麼,你也不知是怎麼了,然後,你就任人宰割了。

森白的月光下,那把霍霍磨着的長刀……

——來自獨立調查員的自白

技術篇

360:互聯網的癌細胞

每經記者秦俑

深圳,紅樹林,旁邊就是深圳灣公園,有蜿蜒的海堤風景帶;海的那端是雲霧間的山巒以及錯落的建築,那是香港特別行政區。

經過前期網上100多天艱苦的技術交流後,《每日經濟新聞》記者終於約到了「獨立調查員」。這是我們之間的第二次見面。這一次,我們相約只做一件事情:將360(奇虎360科技有限公司,本文簡稱為360)在幕後所做的一些難以見光的行為,在網上重新演繹一遍。

這一過程漫長而複雜。幾天幾夜裏,獨立調查員展開的網絡實證讓人觸目驚心,許多動態的過程無法通過平面文字呈現。事實上,獨立調查員曾經在網上披露的內容,絕大多數網民也不可能看懂。

2012年10月,一個署名「獨立調查員」的微博開始向360發難,時至今日,《每日經濟新聞》記者已跟蹤此人整整3個月:初始時基本上通過網絡實現溝通,漸漸地,有了電話中的直接交流。

在思維碰撞中,記者發現,「獨立調查員」對360的反感是深切的;他對360的研究也是深刻的。令《每日經濟新聞》記者萬分好奇而且不解的是:他的動力來自何方?

「如果你得了癌症,你的第一反應是什麼?」獨立調查員反問道,「那一定得趕快把它切除掉!而360正是網絡社會的毒瘤。此瘤不除,不僅中國互聯網社會永無安寧之日,整個中國都永無安寧之日。」

獨立調查員分析說,不要小看了蘋果對360產品下架一事,這種下架的期限極有可能是「永久性」。為什麼一個在中國能夠獲得如此巨大影響力的公司,會在一家全球性大公司處遭遇截然相反的待遇?「這只能說明眼下的互聯網空間沒有能力排除自身的毒瘤。而蘋果下架360,背後正體現出對腫瘤的自體免疫排斥性,這是一個網絡社會健康的標誌。」

獨立調查員認為,他作為一名程式設計師,就是要從技術層面來理清360這個「DNA」的基因突變。「這個突變的基因,就是360安全衛士或360安全瀏覽器,一切都會發生改變。」

互聯網其實與人體一樣,本身具備着抗癌的免疫力。一旦發現癌細胞,自身會啟動自動識別與排斥機制,比如「最小特權原則」就是互聯網江湖防止自身「癌變」的免疫機制。

所謂最小特權(LeastPrivilege),指的是「在完成某種操作時所賦予網絡中每個主體(用戶或進程)必不可少的特權」;最小特權原則,則是指「應限定網絡中每個主體所必須的最小特權,確保可能的事故、錯誤、網絡部件的篡改等原因造成的損失最小」。

這一特權最通俗的說法就是:你不要代替用戶行使權力,你的特權越小越少越好。這樣,才是對用戶最大的保護。能不作為處,不作為。

「而奇虎360的『基因變異』正體現在此處,表現為『奇虎360原則』——以安全的名義,在用戶知情或不知情的情況下,直接代表網民行使權益。」獨立調查員說,「其實,最小特權原則非常簡單。比如一個電話檢查員,為了檢查你家的電話是否正常好使,便在主人不在家時,直接打開你家的門,試用了一下電話;或者說,因為你家的狗在叫,物業打開你家的門,直接將狗殺了。這都是違反了最小特權原則。而360最大的問題就是以安全的名義,踐踏了這一原則。」

360是如何通過環環相扣的程序設計,就像本文開頭部分的K保安公司監控業主夫婦房事一樣,或就像電話檢查員徑直打開主人房門查線一樣,或就像物業工作人員直接打開業主房門進去把主人的狗殺掉一樣,在用戶的電腦里橫衝直闖、恣意妄為?本文將為讀者揭開360相關產品背後的層層暗箱操作鏈條。

技術篇之一·黑匣子

360產品內藏黑匣子:工蜂般盜取個人私隱信息

每經記者秦俑

這是一件真實的事情:多年前,業內一家知名IT公司一個產品將上線,但蹊蹺的是,該產品上線前一天,360的同類產品突然上線。而且,360上線產品的頁面與該公司準備上線的版本幾乎一模一樣。這家IT公司的此款產品不上線已不可能,而改版也已不可能。被逼無奈之下,該產品只能硬着頭皮上線。讓這家IT公司哭笑不得的是,由於此款產品上線時間比360同類產品晚一天,所以用戶普遍認為,該公司的產品抄襲了360產品。

此類詭異怪事,在業內已不止一次發生。

誰是泄密者?上述IT公司最終未能找到「臥底」,不過開始將質疑對象聚焦在360產品身上。因為實查結果發現,該公司不少員工電腦上安裝了360相關產品。

出於安全考慮,該公司要求所有員工的工作電腦中不得安裝360產品。與此同時,公司內網環境中,全面禁止360產品。從此,確實沒有再發生過類似的泄密情況。

據《每日經濟新聞》記者了解,國內最早全面禁用360產品的企業為騰訊、百度、金山等一批公司。在這些公司的辦公環境中,完全屏蔽360產品,如確因公司研究性工作需要,才可以安裝虛擬機使用360產品。

國內幾家互聯網巨頭公司,均以安全為由禁止使用一家以互聯網安全著稱的公司的相關產品,這在中國IT界構成了一道未解的謎團。

大型公司尚且對360產品避之不及,對於普通用戶來說,使用360相關「安全」產品,安全嗎?

在中國有「黑客教父」之稱的安全技術專家「黑客老鷹」,即IDF互聯網情報威懾防禦實驗室創始人萬濤認為,從私隱保護和用戶權益的角度講,360產品確實存在需要澄清的地方。但中國用戶目前在私隱保護方面的意識並不強,這是一個比較普遍的現象。因為對許多用戶來說,「我上網就是看看新聞,玩玩遊戲,我沒有私隱」。這一觀點非常流行。

萬濤表示,而在另一方面,多年來儘管民間在破獲360侵犯私隱等方面做了許多努力,並查獲了許多證據,但360在這方面的「反應」也非常「嚴密」。此外,獲得的一些突破性證據因為過於專業,也不易讓普通用戶看懂,因此也就缺乏相應的感知。

黑客揭秘:360安全產品背後的「安全」陷阱/

在深圳紅樹林,獨立調查員為《每日經濟新聞》記者進行了現場演示。他特意在自己的電腦上安裝了360安全瀏覽器,並打開網絡通信監視工具,這時可以看到,360安全瀏覽器在其電腦後台上就像一隻工蜂,始終不停地忙碌着。

然後,獨立調查員又打開IE、騰訊、獵豹、chrome等瀏覽器,每一個瀏覽器都很安靜,沒有任何動作。

「360安全瀏覽器在幹嘛呢?誰也不知道。為什麼要這樣忙碌呢?作為瀏覽器,其作用就是可以顯示網頁伺服器或者文件系統的HTML文件內容,並讓用戶與這些文件交互的一種軟件。根據最小特權原則,你是沒有理由在我的電腦里不停地『工作』。你要問他在做什麼,他就說,是為了你的安全。」

「明明知道360在做不應該發生的事情,但不知道發生的是什麼事情。這就是360留給中國所有安全專業人員最大的課題。」獨立調查員解釋說,這是因為360在這方面做了非常縝密的設計,其防禦體系相當嚴密,要突破防線有所收穫,是件非常困難的事情。

而這,也正是許多從事安全的專家們感興趣的事情。

2010年2月6日,360多年的宿敵——瑞星拿出了一份「證據」,其發佈的《奇虎360利用「後門」拿走了用戶什麼》一文,利用大量技術細節說明360安全衛士在安裝進用戶電腦時,會偷偷開設後門,並時刻監視用戶訪問網站,將相關信息上傳至360網站。

此事標誌着360第一次露出「不安全」的真面目,從此一發而不可收拾。

據《每日經濟新聞》記者調查,國內有一大批黑客對破獲360的防線,以及搞明白360這個黑匣子內到底有什麼非常感興趣,想通過攻擊360而獲得其侵犯用戶私隱信息的證據。他們之間甚至有一個鬆散型的組織,經常交換這方面的信息。但與此同時,也有些黑客最終被360「招安」,成為其公司成員。

2010年12月31日,在黑客狂轟濫炸360伺服器後,360防線被攻破,存儲於其伺服器上的大量用戶私隱數據噴涌而出,被谷歌搜索爬蟲自動抓取,並公告天下。360多年來宣稱的「用戶私隱大於天」的謊言正式被揭穿。

上圖為某網民通過360safe.com泄露的數據登錄某政府機關的內部郵箱

這份意外泄露的文件詳細記錄了大量360用戶的全網訪問過程,包括瀏覽的網頁、下載過的應用、搜索的關鍵字等,並將這些訪問記錄與唯一用戶掛鈎。在這個伺服器中,每個用戶對應一個字符串,通過查詢字符串,可以了解用戶的所有個人信息、上網瀏覽記錄、賬號密碼,例如用戶在百度搜索關鍵字、淘寶購物記錄、金蝶、奇瑞等企業內部財務網絡數據、某政府機構官方郵箱用戶名及密碼等連結數據。

《每日經濟新聞》獲得的一份對泄露日誌文件分析統計的結果顯示,此次泄密事件涉及總條數141萬條,其中涉及用戶名信息的條目有247326個,既包含用戶名又包含密碼條目有816個。而這對於360收集的海量數據來說只是冰山一角,截至目前為止,360從沒有公開解釋被泄露的數據總量有多少,被下載了多少次。

然而,有關360如何「利用」用戶的信任,如《全民公敵》影片中的衛星一樣「間諜」式地監控着用戶的電腦,這個謎團卻依然沒有辦法破解,至今沒有一家安全廠商拿出這個過程的有力證據。

獨立調查員告訴記者,360安全衛士、360安全瀏覽器,其內部運作流程就像一個暗箱,外部人可以聽到裏面有動作,但卻沒有辦法知道裏面發生了什麼,以及它如何阻止外部人破解它。

而獨立調查員卻偏執地選擇了這條破解之路。他先製作了一張簡單的圖表,以揭示360拳頭產品360安全衛士內部的操作模型(如圖)。

從這個圖中可以看出,360安全衛士對用戶在電腦上進行軟件操作、文檔操作等所有操作舉動均秘密進行監視、記錄,然後進行壓縮後上傳至雲端伺服器;過去,上傳的過程為明文上傳,這對用戶的私隱帶來非常嚴重的威脅,在經歷過幾次大的泄密事件後,目前上傳文件已經加密。

文件上傳到360雲端存儲後,文件會立即在本地被刪除,這招防禦術非常兇狠,即使有人破解其行為,並獲得文件證據,但因為隨時的刪除,很難將證據做實,變成死無對證的孤證。

用戶電腦中的360安全衛士這一套運行機制都是事先預設好的,可以獨立操作完成;但實際上,360雲端(360安全數據中心)對用戶客戶端的360安全衛士具備直接控制能力。360雲端不僅可以下達專門的指令(後文還將詳述),同時一旦360安全衛士發現有人在監視其通信操作等,會發出安全警告以阻止繼續操作並限時自行禁止。這也給破獲工作帶來相當程度的干擾。

據一名多年研究360產品的黑客告訴《每日經濟新聞》記者,「設置如此高難度障礙的人一定是行業的高手。可以斷定,360內部一定有國內頂尖級的黑客高手。他們才有可能做到既做暗事,又不留任何把柄。這就像是一個江洋大盜,來無影,去無蹤,飄忽不定,作案後現場不留任何痕跡,實在是高精尖的設計。」

這名黑客發現,360安全衛士的暗箱操作行蹤越來越沒有規律可循,換句話說,其運作規律經過精心策劃,非常不容易被外界掌握。同時,其獲取信息的區域半徑越來越由中心城市向二、三、四線城市延伸。這樣的話,要想抓到證據就更為艱難。「中國擁有30多個省級行政區,336個二級行政區,還不包括數以千計的三級、四級行政區,這就相當於360安全衛士在中國網民的生活中佈下了天羅地網。」

據《每日經濟新聞》記者調查發現,國內不止一家公司準備投入大量人力來破獲360的違法行為,但最終都偃旗息鼓。原因就在於,360收集用戶信息的行為「就像空中划過的彗星,茫茫夜空,布下天羅地網,時刻守候,才有可能有所斬獲,這樣的投入產出比太低了」。

黑匣子現身:對用戶個人信息涉嫌暗箱操作/

「破解360安全衛士的非法操作,是一件很好玩的貓捉老鼠的事情。」上述黑客向《每日經濟新聞》記者感嘆說,360安全衛士的技術架構非常複雜,組件有很多程序,軟件包有幾十個可執行的程序,還有擴展庫。如果要查清楚是否侵犯用戶私隱,則需要對每個程序進行分析,就像分析病毒一樣地分析每個文件,而這需要投入大量的時間和精力。

這名黑客給記者展示了許多「同行」間來往的郵件,此中展現出破解之後的喜悅,以及經驗的交流。

而獨立調查員宣稱,他「已基本破解了360安全衛士的謎局,但離發佈還為時尚早」,因為他要做「鐵板釘釘的事情」。

在《每日經濟新聞》記者保證不會將其操作思路披露的情況下,獨立調查員將其操作的核心步驟進行了詳盡的現場演示。在徵得其允諾的情況下,記者可以告知的是:針對360的設置,進行反向操作,反向分析而破解。

到目前為止,已經披露的最重要證據為獨立調查員於2012年12月6日在其微博上發佈的一個視頻(http:/weibo.com/2902756801/z8BUvfWqe)。這份視頻詳盡地破解了360安全衛士秘密獲取用戶信息的過程。

獨立調查員告訴記者,這份13分36秒的視頻以完整的手法記錄了破獲360竊取用戶私隱的證據。它證明了360在用戶電腦中收集、上傳用戶信息的「動作」,「猖狂到任何簡單的、常規的軟件操作行為都將被記錄,與安全問題完全無關,而這些信息都在用戶個人私隱範疇」。

但據獨立調查員宣稱,這份視頻資料並非其採集、製作,「而是來自一名自稱是安全領域專家的匿名人士」,他通過微博私信向獨立調查員爆料:自己已經掌握了360安全衛士7.3竊取用戶私隱並上傳到360伺服器的司法證據,現在可以無償將這段司法證據給他。

而關於這份證據,獨立調查員認為,將是未來給360的「一顆小小的炸彈」,在法庭上是有力的呈堂證供。

據記者了解,去年11月28日,在易觀國際主辦的「易士堂」網絡安全論壇(第二季)論壇上,這份視頻資料也曾分享給包括國家信息中心、中國信息安全測評中心等安全業界人士;而最初製作這段視頻並進行司法公證的正是金山安全專家李鐵軍。不過李鐵軍否認自己就是給獨立調查員爆料的匿名人士。

據李鐵軍透露,2010年11月,卡飯安全論壇有人爆料稱「360安全衛士7.3的某個版本會竊取用戶私隱上傳到360伺服器」,爆料的內容非常簡單,只提供了一個有趣的細節暗示:需要用戶在360loginfo目錄對刪除權限做一個修改才有可能捕捉到360的罪證,帖子不久就消失了。

李鐵軍首先嘗試重現帖子描述的問題,而不是對軟件進行逆向分析,經過數月才完成了這一個證據的抓取。

「反反覆覆不知道試了多少回。」李鐵軍對《每日經濟新聞》記者表示,憑藉多年的經驗,他終於找到了關鍵所在,比如有竊取私隱問題的360安全衛士版本號為7.3.0.2003l,數字簽名時間為2010年11月8日,要想重現必須將360loginfo訪問權限修改為「所有人不可刪除」;再比如安裝時修改系統時間與2010年11月8日不能相差太久,安裝前須斷開網絡(禁用網卡或拔網線)。

即使這樣,也有一些情況在李鐵軍「意料之外」。

「開始想到的是禁用網卡和改360loginfo目錄的訪問權限,但奇怪的是,有時能在安裝後幾分鐘內即可在360loginfo目錄看到日誌生成,有時等幾小時都不能重現,於是嘗試將系統日期從單數修改為雙數或從雙數修改為單數,結果很快看到奇怪的日誌文件出現了。」李鐵軍表示,這幾條重現規則是反覆多次嘗試之後才總結出來的。

而上述結果也在曝光之後第一時間得到IDF互聯網情報威懾防禦實驗室的驗證。2012年11月25日,該實驗室發佈報告表示,360安全衛士v7.3.0.2003l所搜集用戶軟件操作信息,對用戶私隱造成風險,若用戶運行某一程序,360安全衛士v7.3.0.2003l會把程序所在路徑搜集並未經加密上傳至360伺服器。若360公司所存放信息的數據庫泄露或傳輸數據被黑客截取進行社工分析,可造成用戶的信息泄露。

萬濤對《每日經濟新聞》表示,根據之前的評測報告,360安全衛士v7.3.0.2003l對用戶信息的處理涉嫌未遵守其中的用戶知情權、選擇權及禁止權,並在未獲得個人信息主體的明確同意下記錄和上傳用戶行為數據。

值得注意的是,已於2月1日正式生效的我國首個個人信息保護國家標準《信息安全技術公共及商用服務信息系統個人信息保護指南》明確規定,個人信息獲得者在收集個人信息時,需「具有特定、明確、合法的目的」。基於此,在收集前要採用個人信息主體易知悉的方式,向個人信息主體明確告知和警示如下事項:處理個人信息的目的;個人信息的收集方式和手段、收集的具體內容和留存時限;個人信息的使用範圍、被收集後的個人信息保護措施、個人信息主體的投訴渠道;同時提醒個人信息主體提供個人信息後可能存在的風險和個人信息主體不提供個人信息可能出現的後果。且「只收集能夠達到已告知目的的最少信息」。而信息獲得者如需將個人信息轉移或委託於其他組織和機構時,也需要向個人信息主體明確告知轉移或委託的目的、轉移或委託個人信息的具體內容和使用範圍、接受委託的個人信息獲得者的名稱、地址、聯繫方式等。

很明顯,360公司在個人信息的收集、加工、轉移、刪除等環節,明顯將行業的遊戲規則拋諸腦後,一意孤行地進行着暗箱操作。

技術篇之二·後門

360後門秘道:「上帝之手」,抑或「惡魔之手」?

每經記者秦俑

「作為宣稱『最安全的瀏覽器』的360安全瀏覽器,被發現存在極大潛在安全威脅的『後門』。毫無疑問,『獨立調查員』是第一人。即使給他頒發一個國家級的科技發現獎也不為過。而且,多少年後,人們一定會感謝這位幕後的英雄,為了廣大用戶的上網安全,做出了卓越的貢獻。」百度安全部門的相關負責人如此評價360安全瀏覽器「後門」發現者。

按照獨立調查員的理解,所謂360的後門,不僅存在於360安全瀏覽器,也存在於360安全衛士。他說,「你這樣來看,在你的小區,保安說,因為安全的需要,你們要將房門的鑰匙放一把在我身上,我可以隨時來檢查你家庭的安全。這本身已經非常大的不安全了,但你更不知道的是,這個保安公司,還在地下挖有一條通道,可以直接從地下通過地道悄悄進入你的房間。而這個地道,就是後門。」

360後門秘道浮出水面/

2012年10月,當時「方周大戰」正酣,獨立調查員才注意到了360安全產品,因為他一直是裸機,從未想過要關注360。但這一關注,他敏銳地發現,360「非常異類」——許多行為不僅是反安全的,甚至是「反人類的」。

獨立調查員特意在用於測試的虛擬機中安裝了全套360產品,並由此發現360產品的許多「不規矩行為」,他隨手將這些發現發佈在微博上,立即引起許多關注,但也遭到一些人的攻擊。「有些人明顯就是360的人在挑釁,這激怒了我,我這人不喜歡耍嘴皮子,我是軟件專業人員,我只講證據」,獨立調查員如此說。

獨立調查員發現,360瀏覽器網絡通信有非常異常的情況,「最開始只是發現其時間周期性:每隔5分鐘,瀏覽器就主動發起一次與伺服器之間的通信過程,雖然不知道在幹嘛,但其短周期性非常可疑。」

為什麼不打開任何網頁、不動鍵盤和鼠標,360瀏覽器依然忙個不停呢?「國內外所有的知名瀏覽器都不會存在這樣的行為模式。可以肯定,此中必有蹊蹺」。

於是,他繼續追查,雖然下載的文件名是文本文件(ini),但當他把數據包拼接成文件後一看(當時尚不知道伺服器IP位址對應域名,受伺服器限制未能通過網址直接下載文件,也尚未注意到文件被暫存於臨時文件夾),實際是個DLL(可動態加載的程序模塊)。「以我的知識和經驗,很快意識到問題的嚴重性——以更新配置文件為耳目、周期性下載並加載執行小程序——這是一個後門。至於360利用它做什麼、曾做過什麼並非重點,重點是他們可以做任何事而不為人知、不留痕跡。」

於是,他於去年10月29日通過微博對外公佈了360瀏覽器有後門的事實,同時公開向工信部、公安部發出了一封名為《公開舉報奇虎360公司——致工信部、公安部公開信》的舉報信。

《每日經濟新聞》記者注意到,在這封舉報信中,獨立調查員直接斥責道:「奇虎360公司的『360安全瀏覽器』暗藏『後門』,是用戶系統安全和信息安全的嚴重潛在威脅」。

他舉證說,360安全瀏覽器實為C/S架構木馬系統的客戶端,伺服器群是se.360.cn(雲架構,IP位址不定)。瀏覽器每隔5分鐘即向伺服器請求新的「指示」。新的指示偽裝成Ini(純文本文件類型)發出,實際上是DII文件(Windows可執行程序庫或資料庫)等。

此事一石激起千層浪。不過,具有挑戰的是,獨立調查員的分析結果僅僅是網絡分析,是「後門」機制的初步證據和技術推斷,而非直接的鐵證。正是因為這樣,360開始在網絡上對其進行質疑、攻擊,甚至嘲諷。

「他們以為我只會網絡抓包呢!」獨立調查員表示。於是,為了做實360的後門機制,他決定反向分析瀏覽器本身的程序庫,並詳細分析出「後門」機制的內部執行流程。

然而,這並非一件容易的事情。「因為沒有軟件源程序、更沒有設計文檔,所以分析難度相當大。給你個軟件,只能進行其公開可見的操作,而內部運作卻完全是個黑洞。」獨立調查員表示。

源程序(原始碼)自然沒有。而要通過反向工程來破解,難度相對較高,也非常浪費時間。何況360瀏覽器軟件規模不小,而且還有很多內置的擴展程序。

「我首先用排除法把擴展組件挨個幹掉,我刪掉一個擴展組件,如果後門機制還在,說明與這個擴展組件無關。」獨立調查員最開始的直覺是後門應該在擴展程序裏面,因為主程序要送檢,但是當獨立調查員把可見的擴展程序全部刪掉後,後門還在,於是他開始刪(對普通用戶)不可見的擴展組件。

「通過排除法,最後確認是擴展組件SmartWiz在搞鬼。刪掉它以後,瀏覽器就安靜了,那個5分鐘一輪的上傳下達活動消失了。」

不過,還沒有結束。為了進一步查明360後門真相,獨立調查員還需要反向編譯出匯編代碼並跟蹤測試。

通過一系列技術過程,獨立調查員掌握了360瀏覽器在SmartWiz整個組件里與360伺服器間建立通信、下載、臨時存儲、加載執行、刪除(銷毀證據)的流程,同時也知道了其時鐘控制調度機制(5分鐘間隔定時器)。

360後門的安全之殤/

360安全瀏覽器設計出來的後門,恰恰給用戶帶來了極大的不安全。

為了讓用戶知道這個後門的惡劣程度,一直涉足互聯網安全工作的騰訊集團副總裁曾宇,對沒有後門的瀏覽器的重要性做了解答(如左圖)。

一般個人用戶的電腦中,90%以上為windows系統,這套系統與互聯網之間的聯繫,是需要瀏覽器來實現的,同時,因為瀏覽器的閉環作用

(可以理解為沒有縫的雞蛋殼,除非用戶特別授權),其也是windows系統與互聯網之間的天然屏障,任何來自於其他雲端的指令等,都不會穿透這層保護而到達windows系統。這樣,用戶電腦中的windows系統得到最好的保護,所有執行的指令,都是來自於用戶自己。

而IDF互聯網情報威懾防禦實驗室創始人萬濤則對瀏覽器後門做了解讀。他說,被稱作360「安全」的瀏覽器,卻有一個特殊的資源文件,這個資源文件硬生生地將這個蛋殼打開了一條縫,而且是一條用戶看不到的縫。

通過這個後門,360瀏覽器可以根據監視用戶電腦操作過程中出現的情況,向360雲安全中心發出請求,360雲端的後門服務體系根據請求,給出相應的DLL,即windows可執行程序庫。這個DLL通過360瀏覽器的後門,直接進入用戶的windows系統。

此時,這個DLL好生了得,它甚至已不受瀏覽器的控制,它在用戶windows系統中可做的事情包括但不限於:

獲取用戶的文件,並上傳到雲端;

讀寫、增刪用戶的文件;

監聽用戶通訊;

更改windows系統的註冊表或重要的設置參數;

悄悄卸載競爭對手的產品,等等。

同時,這個DLL還可以通過這個後門,直接對互聯網發出指令,包括但不限於:

自動從360伺服器下載軟件來安裝或運行;

代替用戶直接進行電子商務操作;

釋放木馬或病毒、創建常駐系統的服務,等等。

360是否做了這些呢?如果做了,對其自身又會有怎樣的價值呢?會對行業、用戶帶來怎樣的傷害呢?沒有人知道答案。

「搞清楚這些細節後,我就着手重現後門機制的運作,讓本來不可見的過程變得可見,以做可視化演示,讓大家不僅能感知而且能『看到』360暗設的這道『後門』。」獨立調查員表示。

在他看來,360那個後門每5分鐘都會找360伺服器下載一個DLL並加載執行,但它是個後門,隱蔽性第一,因此DLL無論如何不會現身,不存在彈出對話窗口或消息框,因此需要給它模擬一個測試環境。

「通過在本地架設DNS服務,劫持360.cn的域名解析,把我的機器偽裝成360的伺服器,然後那個注入瀏覽器的DLL不就由我自由控制了麼?」獨立調查員表示,通過編一個只要被加載執行就馬上彈出消息框的DLL,拿自己寫的DLL注入給360瀏覽器,這就讓360瀏覽器的後門機制的運行完全可見了。

就這樣,瀏覽器果然如預期的那樣,把獨立調查員在DLL裏面寫的消息框給彈出來了。

「被活捉啊!」從去年10月29日的公開信到11月5日的反向工程分析研究,前後僅為六天(僅利用業餘時間)。

一個細微的細節是,獨立調查員為了讓更多的用戶知道360暗藏後門的事實,還將其調查結果通過65分鐘不間斷的視頻進行全網絡直播。由於要保證視頻內容真正做到65分鐘不間斷、不剪接,而實際上他花費了4個多小時一次次現實演示,直至實現一次性完成,才算真正完成這一取證工作。

獨立調查員指出,可執行文件DLL絕非軟件的自動更新(軟件更新是持久性的),360安全瀏覽器自動更新僅在啟動時執行一次,與此行為無關;而它也不是瀏覽器的一部分,下載、暫存、加載調用後將立即被刪除,完成使命後,不留任何痕跡。

360後門:綁架用戶的遙控器/

獨立調查員的這一發現發佈後,立即在業內引起巨大震動。

以電子取證為主業的獨立第三方IDF互聯網情報威懾防禦實驗室立即跟進,對獨立調查員的舉報結論進行重複性認證,結論為:360安全瀏覽器v5.0.8.7的ExtSmartWiz.dll文件的屬性、行為及反編譯內容與獨立調查員描述完全一致。

萬濤表示,在當時的檢測中,即使在關閉360安全中心可以關閉的功能,包括網址雲安全、廣告雲攔截、第二代防假死、沙箱保護,在未進行任何瀏覽器操作情況下,仍然可以抓取到ExtSmartWiz.dll請求伺服器文件及下載伺服器文件記錄,而這些並未包含在《360用戶私隱保護白皮書》有關「360安全瀏覽器的私隱保護說明」中。

業內一位安全專家認為,360瀏覽器利用後門通過秘密手段,每5分鐘操作一次程序性動作,究竟做了什麼?現在不易獲知,相信終有一天,360內部的程式設計師等知情人士會將此完整地披露給大眾。但可以認定,360這一行為有不可告人的目的,最為正面的理解是:如果全國要抓貪腐,可能不再需要小三、二奶們自告奮勇地獻身了,只要打開360瀏覽器,貪腐只要是上網的,基本上其醜行就可以通過360安全瀏覽器、360安全衛士這個後門機制暴露無遺了。

針對獨立調查員的證據,360方面至今也無正面回應。

據獨立調查員的最新消息,360安全瀏覽器5.0版的「後門」機制仍在運作,但360伺服器已不再通過「後門」下發任何DLL,僅下發空文件(文件大小為0的文件)。

對360安全瀏覽器最新版(6.0.2.202)的網絡通信監測表明,在未打開和瀏覽任何網站的情況下,瀏覽器仍然在與360雲伺服器密集通信,但與5.0版的情況明顯不同。這裏是否藏了什麼新的秘密?

獨立調查員對此已作了嘗試調研,他告訴《每日經濟新聞》記者,「有關結果,在合適的時候會披露出來。」

「此中有一個不易注意的細節,」獨立調查員告訴記者,「當時,360安全瀏覽器產品經理陶偉華在回應我的微博時,就把我指出的ExtSmartWiz.dll文件名篡改成SmartWizRes.dll,而現在其6.0版本恰恰就是現在的『SmartWizRes.dll』,可見其早已有想通過偷梁換柱的方式掩蓋其惡行。」

據多位安全專家表示,「後門」並非360獨創,原來,其作用為「方便之門」。最著名的「後門」軟件為灰鴿子(Hack.Huigezi)。其誕生於2001年,原本是一款優秀的遠程控制軟件,其後門機製作用為方便實施遠程控制。但正是這「後門」機制,又使其成為集多種控制方法於一體的木馬病毒。一旦用戶電腦不幸感染,可以說用戶的一舉一動都在黑客的監控之下,要竊取賬號、密碼、照片、重要文件等皆手到擒來。因此,自其誕生之日起,就被反病毒專業人士判定為最具危險性的後門程序,並引發了安全領域的高度關注,同時成為全球公認的「毒王」。

360安全瀏覽器比「灰鴿子」更為危險的是,它的市場佔有量很高。根據艾瑞諮詢此前發佈的數據顯示,360最主要的產品360安全衛士的市場份額已經高達84.41%,同時360也擁有國內最大的瀏覽器和網址導航份額,所佔市場份額大致為30%。這也意味着數億量級360瀏覽器安裝於用戶的電腦中,如果有人破解360安全瀏覽器,從而控制這個後門的話,那將是災難性事件,它導致一個國家的癱瘓都是完全可能的。因為360安全衛士、360安全瀏覽器早已進入了中國大多數用戶的電腦。

萬濤進一步指出,更為令人擔憂的是,360的「後門」控制屬於雲端,至今仍秘而不宣。「凡安裝360安全瀏覽器或360安全衛士的電腦,都已客觀上成了360可以任意支配的『肉雞』。而360目前在許多領域中的不正當行為,都是基於其安全入口的裁判員機制而實施成功的。」

而來自金山的反病毒專家李鐵軍認為,360瀏覽器的後門機制,實際上已綁架了用戶,成為360通過用戶的瀏覽器來直接攻擊競爭對手的工具,包括阻止或殺死競爭對手的各類客戶端軟件,阻止其中的重要程序,破壞競爭對手軟件的功能等等。「這樣的醜行只有中國才有,是世界上惟一的先例。」

商業篇

360:互聯網的「一枝黃花」

每經記者秦俑

自由評論人、技術經濟觀察家瞬雨給《每日經濟新聞》記者講述了一個歷史故事:

1935年,上海從北美引進「加拿大一枝黃花」作為觀賞植物,因其艷麗多姿,多用於插花配花。然而上世紀80年代,因其具有極強的繁殖和快速侵佔力,同時,其根系會釋放乙炔氣體抑制其他物種生長,從而導致「加拿大一枝黃花」紮根之處,所有植物均迅速死亡,甚至使上海30多種植物物種消亡,從而被列為惡性雜草。幾十年來,許多地區一直在進行剿滅「加拿大一枝黃花」行動。

瞬雨認為,360很像中國互聯網界的「一枝黃花」。360董事長周鴻禕一直強調「破壞性創新」,這正是「一枝黃花」的最好註解。

對於360及周鴻禕,外界基本上分為兩個陣營:愛之者為之歡呼,恨之者為之切齒。而歡呼者,正是出於對其破壞性快感的獲得,以及對其破壞過程中所呈現的「流氓特性」的認可;而切齒者,則不僅因其對整個互聯網社會的強大破壞力,更緣於其不斷地突破底線,以及對人們價值觀的不斷挑戰。

「破壞是一件容易的事,而建設才是根本。創新不能總是以破壞為代價。」瞬雨向《每日經濟新聞》記者表示,「釀製出一隻青花瓷瓶,或許需要數月甚至數年的精到功夫與時間,但破壞它,一錘子砸它,只需要一秒鐘。」

瞬雨認為,360更大的危害,在於其還有許多人們所不能見的潛在威脅:360安全衛士、360瀏覽器的「癌性基因」。

作為互聯網安全廠商,最重要的特性,就是恪守「第三方安全」準則:不得隨意代替用戶作決定或處理;不得以安全的名義,為廠商自己牟利;不得在安全領域,既當運動員,又是裁判員。

但360恰恰就在這些方面,完全違背了安全廠商的基本準則。當360安全衛士、360安全瀏覽器植入用戶電腦的時候,360便通過它們在用戶知情或不知情的情況下,直接代替用戶做決定,完成各種動作。

「這樣的產品在市場上將是無敵的。」瞬雨舉例說,「一場拳擊賽,A方只可以以拳擊打對方的有效部位,但B方卻可以手腳並用,並可以攻擊你的下三路,那A方必輸無疑。」

這是360致勝的法寶。

而在掠奪市場的過程中,360安全衛士、360瀏覽器恰是一對並蒂的「惡之花」。

商業篇之一·生意經

360生意經:圈地運動與癌性擴張

每經記者秦俑

近日,百度要求鳳巢(百度搜索營銷管理平台)用戶安裝安全插件,以檢驗瀏覽器的安全性。而360以用戶名義,給予這個插件以「網友差評」標籤,並通過其系統,認定該插件為「偷拍插件」。然後,在360安全衛士的「清理插件」功能下,直接誘導和恐嚇用戶卸載該插件。

360憑什麼將百度這個插件定義為「偷拍插件」?憑什麼要用戶卸載?事實上,全球其他所有瀏覽器均對上述插件無異議。

獨立調查員向《每日經濟新聞》記者分析說,360軟件(含互聯網服務)產品,涵蓋安全防護(安全衛士、手機衛士、殺毒等)、操作環境(瀏覽器、桌面、軟件管家等)、工具軟件(五花八門)、遊戲平台、導航搜索和電商網站等,「如果把電腦系統比作軟件產品的運動場,從安全角度看,安全防護產品是裁判員,其他產品則是運動員」。

很顯然,360兼具裁判員、運動員雙重身份。

做為裁判員,360能否公平對待同場競爭的運動員(競爭對手)和看台觀眾(用戶),是人們判斷其價值最關鍵、也是最重要的因素。

「我們無法想像,微軟會通過Windows產品不斷提示用戶IE才是安全的瀏覽器、借網民的名義指控Google搜索是釣魚網銀的幫凶、騰訊電腦管家是最差的安全防護產品;我們無法想像,微軟通過Windows產品把用戶安裝的所有瀏覽器的默認首頁都強行設定為自身的官方網站;我們無法想像,微軟會通過Windows產品向全球電腦秘密下達卸載Chrome瀏覽器的指令;我們無法想像,微軟Bing搜尋引擎盜用Google搜尋引擎的結果數據。」獨立調查員說,「是的,善良的人們無法想像,更無法接受這一切,有社會責任感的企業公民對此都會嗤之以鼻——『我們絕不這麼幹!』」

獨立調查員認為,360有兩條「成功密鑰」,第一,是以「民事訴訟8連敗」為代表的發展模式:先踩法律底線,以求先發展——在中國,360鑽了品牌與道德成本太低的空子;第二,就是以安全和免費名義「綁架」用戶,然後以安全裁判員的身份,展開「競爭」。

以「永久免費」為口號,360安全衛士及其關聯產品很快佔據較高市場份額。

「電腦安全性評分」是360安全衛士最重要的基礎性功能。360安全衛士會自動掃描客戶端所在系統的「安全隱患」,不符合360「安全標準」要求的就扣分,但評分標準和權重並不公開。

比如全新安裝的Windows7,在開啟自動更新、尚未安裝任何第三方軟件前,360安全衛士對其安全評估結果竟是0分(滿分100分)。這個0分意味着什麼?Windows真的很不安全?實際測試發現,根據其安全警示清單一項一項「優化或修復」後,評分逐步增加,但始終處於低位、不到60分,直到「優化瀏覽器」並「鎖定首頁」後,安全性評分迅速接近滿分!事實上,所謂「優化瀏覽器」就是「安裝360瀏覽器並設定為默認瀏覽器」,「鎖定首頁」就是「修改首頁為360導航」。

需要修復的項目還有(不限於):卸載「差評插件」百度瀏覽器工具欄、優化IE(實為篡改IE的首頁、標籤頁、默認搜尋引擎為360的有關服務)、刪除收藏夾中對手的項目(百度、騰訊、谷歌等)等等。

360安全衛士甚至曾偽裝成微軟 Windows補丁安裝程序KB360018,以「IE6內核升級」的名義欺騙用戶安裝360瀏覽器。國外權威技術網站SystemExplorer已將360的這個假冒微軟系統補丁文件定為「100%安全威脅」,從而使後者遭遇微軟調查。

尤其是360安全衛士在評分後的「一鍵修復」功能,更是其佔領市場的利器。其藉助傻瓜式的「一鍵修復」,導致用戶在電腦上用什麼、不用什麼,都由360安全衛士說了算,至於是否都與安全性有關,一般用戶自然看不出門道,相反還會對360的這些「強姦」行為「感恩戴德」——這些用戶原本連安裝或卸載軟件的操作都不熟練,而360安全衛士就是一台「傻瓜相機」。

事實上,360安全衛士不只是一台「傻瓜相機」,其雲安全數據中心動態控制着一切,可以根據360自身需要更改其軟件資料庫、評分標準和權重,隨時準備向對手發起「雲查殺」以保護自身利益。

獨立調查員向《每日經濟新聞》記者分析說,360的發展路徑,即從360軟件產品底層技術構架開始,埋下不同於所有互聯網公司發展的「癌變基因」,然後,此「癌變基因」通過浸潤,向操作環境領域發展,再向工具軟件、遊戲平台發展,最終進入真正的互聯網領域——導航、搜索、電商網站,以及電商網銀體系等。

360綠色網站的安全謊言:「偷梁換柱」浸潤電商網銀安全體系/

2月6日,360官網上一條「網購首選,3億用戶的共同選擇」的廣告悄然上線。打開這條廣告連結,以「網購安全」為主題的新款「360安全瀏覽器」赫然在目。

據《每日經濟新聞》記者獲得的360內部信息,360將借今年的「3·15」活動,大力推動與國內電商企業的合作,以將360安全瀏覽器植入電商領域。這則推廣廣告,正是這一步驟的前奏曲。

據記者調查,360兩年前開始佈局電子商務安全領域,其最先打出的「安全產品」是「網銀無憂」、「地址欄銘牌」,即360瀏覽器主推的「綠色網站認證」。

360向人們傳遞的信息是,「360綠色網站認證」可以確保用戶使用網銀以及電子商務交易安全。

眾所周知,電子商務的交易安全,尤其是網銀,一直是網民、乃至整個社會焦點關注的問題之一。歐美、日本等國家的網銀安全體系非常複雜與發達,而國內的網銀體系,也是在小心設想、小心求證的前提下,一步步地展開。

那麼,360是否真的具備這個能力——取代網銀服務提供者身份驗證體系,由自身來充當網銀「保鏢」呢?

獨立調查員懷疑360公司是否具備這個能力。於是,他進行了如下實驗,以了解360綠色網站認證機制:

在本機模擬,將招行網銀域名劫持到IP為50.63.127.126(xliar.com)的網站,並在目標伺服器上構建相應目錄體系和登錄頁文件,然後使用360安全瀏覽器訪問招行大眾版登錄頁,從而進入偽裝的招行網銀頁面。

360網購保鏢自動檢測招行運行環境,幾秒鐘後完成檢測,報告「本次檢測未發現風險,現在可以放心網購了!」

此時瀏覽器地址欄銘牌顯示為「招商銀行」,點擊後彈出「通過綠色網站認證」,披着「招行網銀」外衣的劫持網址,即被360認證為招行官方網站。

而同樣的操作,使用IE瀏覽器訪問時,IE瀏覽器地址欄則會以非常顯眼的方式告知用戶「(網站數字)證書錯誤」,點擊錯誤信息可知,該網站證書不屬於招商銀行網站。

事實上,用國際主流的瀏覽器均會彈出類似的錯誤提醒警示,用戶收到信息後自然會停止交易、避免損失。

這意味着,如果一家詐騙網站通過域名劫持招商銀行網站,所謂的「360綠色網站認證」並不能有效執行網銀保鏢的辨識功能,進行安全認證。

360安全瀏覽器的安全檢查能力為什麼會如此之低呢?

據《每日經濟新聞》記者了解,目前國際主流的認證機構為VeriSign,包括中國工商銀行、中國建設銀行、中國銀行、中國農業銀行均採用該機構認證。招商銀行網頁所顯示的,也正是該機構的認證,這也作為網上銀行安全的基本保證而得到公認。

而獨立調查員演示的證據顯示,360瀏覽器直接屏蔽認證機構VeriSign基於加密體系的可信認證,將其替換成了360綠色網站認證。

獨立調查員提醒網購者,應信任銀行網站自身的安全證書,並在整個交易過程中關注地址欄域名和安全證書中的域名是否一致,以及其根域名是否與官方域名一致,切勿輕易信任和依賴360的「綠色網站認證」。

獨立調查員認為,這又是另一起360「破壞性創新」的典型案例:「一點技術含量也沒有的網站身份認證,竟然可以公然取代國際上通行的網上銀行安全認證體系。這就是360的非創新型破壞。」

然而,對於類似公然挑釁國際準則的行為,為什麼監管部門可以坐視不管呢?

可以預想的是,一旦360大規模啟動「各大電商推薦安全購物使用360瀏覽器」活動,人們的網上購物均要依賴於「360綠色網站認證」,360收穫的將是又一次360式「癌性擴張」,而中國的網銀體系又將會面臨怎樣的可怕變局?

移動圈地:「非創新型」破壞或止步於蘋果?/

在360的2012年年會上,360董事長周鴻禕對員工指出:「我認為未來兩年將決定整個無線互聯網的市場格局……在過去的一年,360手機衛士用戶量突破2億,360手機助手的用戶量也突破了1億,成為360在無線互聯網上的兩個支柱。但兩根柱子支撐不了一個房子,我希望各個團隊在2013年會有新的產品能夠脫穎而出,包括很多PC的產品也可以尋找在無線上的發展機會。很簡單,未來不會再有無線互聯網公司了,因為每個公司都必須是基於無線互聯網的;也不會有PC產品部、無線產品部的區分,因為以後所有產品都會在PC和移動終端上打通,而沒有無線互聯網策略和產品的公司將會被淘汰。」

這段講話基本上代表了360近期在移動端發展與佈局的方向。

在移動端,360是否會重複使用「癌性擴張」的方式來圈地呢?

《每日經濟新聞》記者在調查中發現,無論是微博還是公開的論壇,皆有不少用戶曝光了360的一些「作惡」行為,大多包括以下內容:在智能手機通過USB接入電腦充電或同步數據時,360彈出手機助手的提示,不經意中安裝360的其他產品,甚至裝上360的產品之後,其他非360的應用會莫名其妙地「被卸載」。

這也意味着,在移動端的圈地運動中,360依然在複製其PC領域的「癌式擴張」做法:除了做安全產品外,自身同時開發了全系列的手機軟件,然後重新演繹一遍其在PC端的玩法。

據《每日經濟新聞》記者掌握的一份來自某互聯網工程師的爆料,包括360手機衛士、360手機通訊錄、360手機瀏覽器等系列產品存在明文上傳用戶私隱數據。上述爆料人提供的證據指出,在機場、咖啡廳,手機用戶使用WiFi上網時,只要登錄360手機衛士及360手機通訊錄,或者進行雲備份或雲恢復,用戶名(手機號)、手機IMEI碼和密碼等高度敏感信息就會通過請求網址明文傳輸,有了這些身份鑑別信息,可以使用任何瀏覽器從360通訊錄伺服器tongxunlu.360.cn的非安全通道直接下載用戶雲備份的通訊錄等私隱。

這也意味着第三方可以輕鬆竊取360用戶登錄各個網站的密碼MD5信息和手機號,進而可以獲取用戶包括短訊、彩信、通訊錄、通訊記錄等所有相關私隱數據,而且還可以篡改並進行釣魚。

對此,獨立調查員進行了相應復檢,發現含高度敏感信息的請求網址的參數部分,僅以BASE64編碼(可簡單解碼,與明文無異),而用戶密碼雖然經過MD5加密、但是可直接用於登錄,且對客戶端合法性沒有任何校驗。獨立調查員向《每日經濟新聞》記者說,請求網址極易被非法攔截,在網址中明文夾帶傳輸高度敏感信息,以及使用非安全通道下載用戶私隱數據,等於把手機用戶私隱暴露在陽光下。

責任編輯: 於飛   轉載請註明作者、出處並保持完整。

本文網址:https://hk.aboluowang.com/2013/0301/287688.html