奇虎360暗藏后門盜取用戶隱私 黑匣子之謎全面解讀

　　“開始想到的是禁用網(wǎng)卡和改360loginfo目錄的訪問權(quán)限，但奇怪的是，有時(shí)能在安裝后幾分鐘內(nèi)即可在360loginfo目錄看到日志生成，有時(shí)等幾小時(shí)都不能重現(xiàn)，于是嘗試將系統(tǒng)日期從單數(shù)修改為雙數(shù)或從雙數(shù)修改為單數(shù)，結(jié)果很快看到奇怪的日志文件出現(xiàn)了。”李鐵軍表示，這幾條重現(xiàn)規(guī)則是反復(fù)多次嘗試之后才總結(jié)出來的。

　　而上述結(jié)果也在曝光之后第一時(shí)間得到IDF互聯(lián)網(wǎng)情報(bào)威懾防御實(shí)驗(yàn)室的驗(yàn)證。2012年11月25日，該實(shí)驗(yàn)室發(fā)布報(bào)告表示，360安全衛(wèi)士v7.3.0.2003l所搜集用戶軟件操作信息，對(duì)用戶隱私造成風(fēng)險(xiǎn)，若用戶運(yùn)行 某 一 程 序 ，360安 全 衛(wèi) 士v7.3.0.2003l會(huì)把程序所在路徑搜集并未經(jīng)加密上傳至360服務(wù)器。若360公司所存放信息的數(shù)據(jù)庫泄露或傳輸數(shù)據(jù)被黑客截取進(jìn)行社工分析，可造成用戶的信息泄露。

　　萬濤對(duì)《每日經(jīng)濟(jì)新聞》表示，根據(jù)之前的評(píng)測(cè)報(bào)告，360安全衛(wèi)士v7.3.0.2003l對(duì)用戶信息的處理涉嫌未遵守其中的用戶知情權(quán)、選擇權(quán)及禁止權(quán)，并在未獲得個(gè)人信息主體的明確同意下記錄和上傳用戶行為數(shù)據(jù)。

　　值得注意的是，已于2月1日正式生效的我國首個(gè)個(gè)人信息保護(hù)國家標(biāo)準(zhǔn) 《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》明確規(guī)定，個(gè)人信息獲得者在收集個(gè)人信息時(shí)，需“具有特定、明確、合法的目的”?；诖?，在收集前要采用個(gè)人信息主體易知悉的方式，向個(gè)人信息主體明確告知和警示如下事項(xiàng)：處理個(gè)人信息的目的；個(gè)人信息的收集方式和手段、收集的具體內(nèi)容和留存時(shí)限；個(gè)人信息的使用范圍、被收集后的個(gè)人信息保護(hù)措施、個(gè)人信息主體的投訴渠道；同時(shí)提醒個(gè)人信息主體提供個(gè)人信息后可能存在的風(fēng)險(xiǎn)和個(gè)人信息主體不提供個(gè)人信息可能出現(xiàn)的后果。且“只收集能夠達(dá)到已告知目的的最少信息”。而信息獲得者如需將個(gè)人信息轉(zhuǎn)移或委托于其他組織和機(jī)構(gòu)時(shí)，也需要向個(gè)人信息主體明確告知轉(zhuǎn)移或委托的目的、轉(zhuǎn)移或委托個(gè)人信息的具體內(nèi)容和使用范圍、接受委托的個(gè)人信息獲得者的名稱、地址、聯(lián)系方式等。

　　很明顯，360公司在個(gè)人信息的收集、加工、轉(zhuǎn)移、刪除等環(huán)節(jié)，明顯將行業(yè)的游戲規(guī)則拋諸腦后，一意孤行地進(jìn)行著暗箱操作。

　　技術(shù)篇之二·后門

　　360后門秘道：“上帝之手”，抑或“惡魔之手”？

　　每經(jīng)記者 秦俑

　　“作為宣稱‘最安全的瀏覽器’的360安全瀏覽器，被發(fā)現(xiàn)存在極大潛在安全威脅的‘后門’。毫無疑問，‘獨(dú)立調(diào)查員’是第一人。即使給他頒發(fā)一個(gè)國家級(jí)的科技發(fā)現(xiàn)獎(jiǎng)也不為過。而且，多少年后，人們一定會(huì)感謝這位幕后的英雄，為了廣大用戶的上網(wǎng)安全，做出了卓越的貢獻(xiàn)。”百度安全部門的相關(guān)負(fù)責(zé)人如此評(píng)價(jià)360安全瀏覽器“后門”發(fā)現(xiàn)者。

　　按照獨(dú)立調(diào)查員的理解，所謂360的后門，不僅存在于360安全瀏覽器，也存在于360安全衛(wèi)士。他說，“你這樣來看，在你的小區(qū)，保安說，因?yàn)榘踩男枰?，你們要將房門的鑰匙放一把在我身上，我可以隨時(shí)來檢查你家庭的安全。這本身已經(jīng)非常大的不安全了，但你更不知道的是，這個(gè)保安公司，還在地下挖有一條通道，可以直接從地下通過地道悄悄進(jìn)入你的房間。而這個(gè)地道，就是后門。”

　　360后門秘道浮出水面/

　　2012年10月，當(dāng)時(shí)“方周大戰(zhàn)”正酣，獨(dú)立調(diào)查員才注意到了360安全產(chǎn)品，因?yàn)樗恢笔锹銠C(jī)，從未想過要關(guān)注360。但這一關(guān)注，他敏銳地發(fā)現(xiàn)，360“非常異類”——許多行為不僅是反安全的，甚至是“反人類的”。

　　獨(dú)立調(diào)查員特意在用于測(cè)試的虛擬機(jī)中安裝了全套360產(chǎn)品，并由此發(fā)現(xiàn)360產(chǎn)品的許多 “不規(guī)矩行為”，他隨手將這些發(fā)現(xiàn)發(fā)布在微博上，立即引起許多關(guān)注，但也遭到一些人的攻擊。“有些人明顯就是360的人在挑釁，這激怒了我，我這人不喜歡耍嘴皮子，我是軟件專業(yè)人員，我只講證據(jù)”，獨(dú)立調(diào)查員如此說。

　　獨(dú)立調(diào)查員發(fā)現(xiàn)，360瀏覽器網(wǎng)絡(luò)通信有非常異常的情況，“最開始只是發(fā)現(xiàn)其時(shí)間周期性：每隔5分鐘，瀏覽器就主動(dòng)發(fā)起一次與服務(wù)器之間的通信過程，雖然不知道在干嘛，但其短周期性非?？梢?。”

　　為什么不打開任何網(wǎng)頁、不動(dòng)鍵盤和鼠標(biāo)，360瀏覽器依然忙個(gè)不停呢？“國內(nèi)外所有的知名瀏覽器都不會(huì)存在這樣的行為模式。可以肯定，此中必有蹊蹺”。

　　于是，他繼續(xù)追查，雖然下載的文件名是文本文件（ini），但當(dāng)他把數(shù)據(jù)包拼接成文件后一看 （當(dāng)時(shí)尚不知道服務(wù)器IP地址對(duì)應(yīng)域名，受服務(wù)器限制未能通過網(wǎng)址直接下載文件，也尚未注意到文件被暫存于臨時(shí)文件夾），實(shí)際是個(gè)DLL（可動(dòng)態(tài)加載的程序模塊）。“以我的知識(shí)和經(jīng)驗(yàn)，很快意識(shí)到問題的嚴(yán)重性——以更新配置文件為耳目、周期性下載并加載執(zhí)行小程序——這是一個(gè)后門。至于360利用它做什么、曾做過什么并非重點(diǎn)，重點(diǎn)是他們可以做任何事而不為人知、不留痕跡。”

　　于是，他于去年10月29日通過微博對(duì)外公布了360瀏覽器有后門的事實(shí)，同時(shí)公開向工信部、公安部發(fā)出了一封名為《公開舉報(bào)奇虎360公司——致工信部、公安部公開信》的舉報(bào)信。