奇虎360暗藏后門盜取用戶隱私 黑匣子之謎全面解讀

       360綠色網(wǎng)站的安全謊言：“偷梁換柱”浸潤電商網(wǎng)銀安全體系/

　　2月6日，360官網(wǎng)上一條 “網(wǎng)購首選，3億用戶的共同選擇”的廣告悄然上線。打開這條廣告鏈接，以“網(wǎng)購安全”為主題的新款“360安全瀏覽器”赫然在目。

　　據(jù)《每日經(jīng)濟(jì)新聞》記者獲得的360內(nèi)部信息，360將借今年的“3·15”活動(dòng)，大力推動(dòng)與國內(nèi)電商企業(yè)的合作，以將360安全瀏覽器植入電商領(lǐng)域。這則推廣廣告，正是這一步驟的前奏曲。

　　據(jù)記者調(diào)查，360兩年前開始布局電子商務(wù)安全領(lǐng)域，其最先打出的 “安全產(chǎn)品”是 “網(wǎng)銀無憂”、“地址欄銘牌”，即360瀏覽器主推的“綠色網(wǎng)站認(rèn)證”。

　　360向人們傳遞的信息是，“360綠色網(wǎng)站認(rèn)證”可以確保用戶使用網(wǎng)銀以及電子商務(wù)交易安全。

　　眾所周知，電子商務(wù)的交易安全，尤其是網(wǎng)銀，一直是網(wǎng)民、乃至整個(gè)社會焦點(diǎn)關(guān)注的問題之一。歐美、日本等國家的網(wǎng)銀安全體系非常復(fù)雜與發(fā)達(dá)，而國內(nèi)的網(wǎng)銀體系，也是在小心設(shè)想、小心求證的前提下，一步步地展開。

　　那么，360是否真的具備這個(gè)能力——取代網(wǎng)銀服務(wù)提供者身份驗(yàn)證體系，由自身來充當(dāng)網(wǎng)銀“保鏢”呢？

　　獨(dú)立調(diào)查員懷疑360公司是否具備這個(gè)能力。于是，他進(jìn)行了如下實(shí)驗(yàn)，以了解360綠色網(wǎng)站認(rèn)證機(jī)制：

　　在本機(jī)模擬，將招行網(wǎng)銀域名劫持到IP為50.63.127.126(xliar.com)的網(wǎng)站，并在目標(biāo)服務(wù)器上構(gòu)建相應(yīng)目錄體系和登錄頁文件，然后使用360安全瀏覽器訪問招行大眾版登錄頁，從而進(jìn)入偽裝的招行網(wǎng)銀頁面。

　　360網(wǎng)購保鏢自動(dòng)檢測招行運(yùn)行環(huán)境，幾秒鐘后完成檢測，報(bào)告“本次檢測未發(fā)現(xiàn)風(fēng)險(xiǎn)，現(xiàn)在可以放心網(wǎng)購了！”

　　此時(shí)瀏覽器地址欄銘牌顯示為“招商銀行”，點(diǎn)擊后彈出“通過綠色網(wǎng)站認(rèn)證”，披著“招行網(wǎng)銀”外衣的劫持網(wǎng)址，即被360認(rèn)證為招行官方網(wǎng)站。

　　而同樣的操作，使用IE瀏覽器訪問時(shí)，IE瀏覽器地址欄則會以非常顯眼的方式告知用戶“（網(wǎng)站數(shù)字）證書錯(cuò)誤”，點(diǎn)擊錯(cuò)誤信息可知，該網(wǎng)站證書不屬于招商銀行網(wǎng)站。

　　事實(shí)上，用國際主流的瀏覽器均會彈出類似的錯(cuò)誤提醒警示，用戶收到信息后自然會停止交易、避免損失。

　　這意味著，如果一家詐騙網(wǎng)站通過域名劫持招商銀行網(wǎng)站，所謂的“360綠色網(wǎng)站認(rèn)證”并不能有效執(zhí)行網(wǎng)銀保鏢的辨識功能，進(jìn)行安全認(rèn)證。

　　360安全瀏覽器的安全檢查能力為什么會如此之低呢？

　　據(jù) 《每日經(jīng)濟(jì)新聞》記者了解，目前國際主流的認(rèn)證機(jī)構(gòu)為VeriSign，包括中國工商銀行、中國建設(shè)銀行、中國銀行、中國農(nóng)業(yè)銀行均采用該機(jī)構(gòu)認(rèn)證。招商銀行網(wǎng)頁所顯示的，也正是該機(jī)構(gòu)的認(rèn)證，這也作為網(wǎng)上銀行安全的基本保證而得到公認(rèn)。

　　而獨(dú)立調(diào)查員演示的證據(jù)顯示，360瀏覽器直接屏蔽認(rèn)證機(jī)構(gòu)VeriSign基于加密體系的可信認(rèn)證，將其替換成了360綠色網(wǎng)站認(rèn)證。

　　獨(dú)立調(diào)查員提醒網(wǎng)購者，應(yīng)信任銀行網(wǎng)站自身的安全證書，并在整個(gè)交易過程中關(guān)注地址欄域名和安全證書中的域名是否一致，以及其根域名是否與官方域名一致，切勿輕易信任和依賴360的“綠色網(wǎng)站認(rèn)證”。

　　獨(dú)立調(diào)查員認(rèn)為，這又是另一起360“破壞性創(chuàng)新”的典型案例：“一點(diǎn)技術(shù)含量也沒有的網(wǎng)站身份認(rèn)證，竟然可以公然取代國際上通行的網(wǎng)上銀行安全認(rèn)證體系。這就是360的非創(chuàng)新型破壞。”

　　然而，對于類似公然挑釁國際準(zhǔn)則的行為，為什么監(jiān)管部門可以坐視不管呢？

　　可以預(yù)想的是，一旦360大規(guī)模啟動(dòng)“各大電商推薦安全購物使用360瀏覽器”活動(dòng)，人們的網(wǎng)上購物均要依賴于 “360綠色網(wǎng)站認(rèn)證”，360收獲的將是又一次360式“癌性擴(kuò)張”，而中國的網(wǎng)銀體系又將會面臨怎樣的可怕變局？

　　移動(dòng)圈地：“非創(chuàng)新型”破壞或止步于蘋果？/

　　在360的2012年年會上，360董事長周鴻祎對員工指出：“我認(rèn)為未來兩年將決定整個(gè)無線互聯(lián)網(wǎng)的市場格局……在過去的一年，360手機(jī)衛(wèi)士用戶量突破2億，360手機(jī)助手的用戶量也突破了1億，成為360在無線互聯(lián)網(wǎng)上的兩個(gè)支柱。但兩根柱子支撐不了一個(gè)房子，我希望各個(gè)團(tuán)隊(duì)在2013年會有新的產(chǎn)品能夠脫穎而出，包括很多PC的產(chǎn)品也可以尋找在無線上的發(fā)展機(jī)會。很簡單，未來不會再有無線互聯(lián)網(wǎng)公司了，因?yàn)槊總€(gè)公司都必須是基于無線互聯(lián)網(wǎng)的；也不會有PC產(chǎn)品部、無線產(chǎn)品部的區(qū)分，因?yàn)橐院笏挟a(chǎn)品都會在PC和移動(dòng)終端上打通，而沒有無線互聯(lián)網(wǎng)策略和產(chǎn)品的公司將會被淘汰。”

　　這段講話基本上代表了360近期在移動(dòng)端發(fā)展與布局的方向。