奇虎360暗藏后門盜取用戶隱私 黑匣子之謎全面解讀

　　在移動端，360是否會重復(fù)使用“癌性擴張”的方式來圈地呢？

　　《每日經(jīng)濟新聞》記者在調(diào)查中發(fā)現(xiàn)，無論是微博還是公開的論壇，皆有不少用戶曝光了360的一些“作惡”行為，大多包括以下內(nèi)容：在智能手機通過USB接入電腦充電或同步數(shù)據(jù)時，360彈出手機助手的提示，不經(jīng)意中安裝360的其他產(chǎn)品，甚至裝上360的產(chǎn)品之后，其他非360的應(yīng)用會莫名其妙地“被卸載”。

　　這也意味著，在移動端的圈地運動中，360依然在復(fù)制其PC領(lǐng)域的“癌式擴張”做法：除了做安全產(chǎn)品外，自身同時開發(fā)了全系列的手機軟件，然后重新演繹一遍其在PC端的玩法。

　　據(jù)《每日經(jīng)濟新聞》記者掌握的一份來自某互聯(lián)網(wǎng)工程師的爆料，包括360手機衛(wèi)士、360手機通訊錄、360手機瀏覽器等系列產(chǎn)品存在明文上傳用戶隱私數(shù)據(jù)。上述爆料人提供的證據(jù)指出，在機場、咖啡廳，手機用戶使用WiFi上網(wǎng)時，只要登錄360手機衛(wèi)士及360手機通訊錄，或者進行云備份或云恢復(fù)，用戶名（手機號）、手機IMEI碼和密碼等高度敏感信息就會通過請求網(wǎng)址明文傳輸，有了這些身份鑒別信息，可以使用任何瀏覽器從360通訊錄服務(wù)器tongxunlu.#的非安全通道直接下載用戶云備份的通訊錄等隱私。

　　這也意味著第三方可以輕松竊取360用戶登錄各個網(wǎng)站的密碼MD5信息和手機號，進而可以獲取用戶包括短信、彩信、通訊錄、通訊記錄等所有相關(guān)隱私數(shù)據(jù)，而且還可以篡改并進行釣魚。

　　對此，獨立調(diào)查員進行了相應(yīng)復(fù)檢，發(fā)現(xiàn)含高度敏感信息的請求網(wǎng)址的參數(shù)部分，僅以BASE64編碼（可簡單解碼，與明文無異），而用戶密碼雖然經(jīng)過MD5加密、但是可直接用于登錄，且對客戶端合法性沒有任何校驗。獨立調(diào)查員向《每日經(jīng)濟新聞》記者說，請求網(wǎng)址極易被非法攔截，在網(wǎng)址中明文夾帶傳輸高度敏感信息，以及使用非安全通道下載用戶隱私數(shù)據(jù)，等于把手機用戶隱私暴露在陽光下。

　　這一現(xiàn)狀，與當(dāng)年360安全衛(wèi)士起家時如出一轍。

　　據(jù)《每日經(jīng)濟新聞》記者所掌握的證據(jù)，國內(nèi)有多家公司與個人，對360這方面的“不規(guī)距”行為進行了技術(shù)論證與法律取證。但這一切，似乎并不能動搖360在此領(lǐng)域的擴張。

　　不過目前，似乎有了一些改變。

　　1月25日，iOS平臺上，360旗下360手機衛(wèi)士、360瀏覽器等一些應(yīng)用突然被蘋果應(yīng)用商店下架，一時在國內(nèi)引起巨大反響。

　　360產(chǎn)品被蘋果下架，這已不是第一次。2012年2月6日，360旗下包括360手機衛(wèi)士、360口信、360瀏覽器HD、360電池醫(yī)生、360安全備份、360團購HD等系列產(chǎn)品均被蘋果應(yīng)用商店下架。

　　隨后，有專業(yè)分析師就曾公開表示，通過研究360相關(guān)應(yīng)用的代碼發(fā)現(xiàn)，至少360手機衛(wèi)士和電池醫(yī)生兩款應(yīng)用存在各種侵犯用戶隱私的行為，主要包括：非法讀取用戶iPhone上的應(yīng)用信息、非法閱覽用戶的照片和音樂文件夾，而iOS版360手機衛(wèi)士部分代碼還顯示，360正在獲取系統(tǒng)進程資源信息，而上述行為均為蘋果應(yīng)用商店嚴禁的違規(guī)行為。

　　而這一次下架的原因又是什么呢？

　　據(jù)360的官方說法，此次下架，與360手機衛(wèi)士企業(yè)版測試時違反了蘋果相應(yīng)規(guī)則有關(guān)——360嘗試為中國境內(nèi)企業(yè)用戶提供 “騷擾電話攔截”和“來電歸屬地顯示”等功能。

　　外界對此也猜測不一：第一，猜測認為，360的多個應(yīng)用涉嫌調(diào)用蘋果私有API，以獲取更高權(quán)限，而蘋果明令禁止這一點；第二，涉嫌刷榜，影響在蘋果應(yīng)用商店的排名；第三，360多次使用企業(yè)證書對外發(fā)布公測版本；第四，多款應(yīng)用涉嫌自建下載渠道，為用戶提供越獄版本。而360的這一切動作，都是對現(xiàn)行互聯(lián)網(wǎng)游戲規(guī)則的明顯侵犯。

　　IDF互聯(lián)網(wǎng)情報威懾防御實驗室創(chuàng)始人萬濤對此認為，最大的可能是，360在將其代替用戶直接進行操作的“非創(chuàng)新型破壞”，從底層數(shù)據(jù)向上延展，最終到達應(yīng)用層時遭到蘋果的阻擊，比如蘋果嚴厲禁止調(diào)用私有API，但360手機衛(wèi)士企業(yè)版測試卻對外開放了私有API的下載鏈接。又如，蘋果對用戶隱私信息的保護非常嚴厲，而360在這方面觸及規(guī)則，這非常容易觸怒蘋果；

　　《每日經(jīng)濟新聞》記者調(diào)查發(fā)現(xiàn)，去年iOS版360手機助手上線時，其產(chǎn)品分為手機客戶端版和PC客戶端版，其PC客戶端版可以直接繞過蘋果應(yīng)用商店為用戶提供下載鏈接，這也意味著360利用用戶數(shù)量進行平臺化，蠶食蘋果市場收益。

　　業(yè)內(nèi)專業(yè)人士管鵬則透露了另一個細節(jié)，前段時間傳“快用”與360合作，將快用的技術(shù)接入360手機瀏覽器中。“快用”有一項核心技術(shù)“ipa2exe”，這一技術(shù)允許iOS開發(fā)者把自己的應(yīng)用與快用的仿iTunes程序打包在一起，使用戶可以像下載普通的PC軟件一樣下載iOS應(yīng)用，并在PC上一鍵安裝進自己的蘋果設(shè)備——這已經(jīng)和越獄市場沒有區(qū)別了，“或許，這也是360下架的重要原因”。