360黑匣子之谜——奇虎360“癌”性基因大揭秘

作者: 小古 分类: 电脑技术 发布时间: 2013-2-26 ė11964 次浏览 64 条评论

转自:http://tech.qq.com/a/20130226/000112_all.htm

360黑匣子之谜——奇虎360“癌”性基因大揭秘

每经记者 秦俑

昨日(2月25日),正是奇虎360所有APP产品被苹果全面下架一个月的日子。

就在此前,360的CFO亲赴美国“负荆请罪”,但360相关产品并未重新上架。

知情人士向 《每日经济新闻》记者透露,国家版权局内部已讨论确定,360搜索引擎严重违反Robots国际规则,目前正在拟定相关处罚决定,近期将在行政处罚会议上责令360停止侵权,进行整改。

据悉,有“两会”代表委员正在草拟严惩不正当恶性竞争破坏产业,以及“3·15”应该将隐私保护列入重点的议案提案。

《信息方略》的一份调研结果显示,回答“拒绝安装360”的企业比例高达60%。

一家以声称安全起家的互联网公司,正面临“不安全”的声讨……

360到底怎么了?这是一家什么样的企业?带着这样的疑问,《每日经济新闻》记者经过数月调查,并在微博名人“独立调查员”等一批程序“猿”的帮助下,揭开了360的层层内幕。

360创始人周鸿祎(微博)一直对外宣称,360成功的秘诀是 “破坏性创新”。但记者调查发现,360的成功,更重要的是在于其“创新型破坏”:破坏才是目标。通过破坏,打破既有规则,从中获得市场与利益。

而这一破坏的基础,便是对互联网世界最基本的准则——最小特权原则的践踏。

为全面还原360的真实面目,“独立调查员”们以超人的技术能力与艰辛的劳动,剥茧抽丝般一层层揭开,将其内部机制破解成功。

360发家于 “360安全卫士”、“360安全浏览器”,而这两款产品甫一面世,便携带了这家公司的癌性基因:以违反“最小特权原则”为基石而构建。

《每日经济新闻》记者第一次查清,360是如何在其庞大的以安全著称的“安全卫士”、“安全浏览器”软件中,植入非法程序,并通过该非法程序中的“后门机制”与360云端配合,形成全球独一无二的秘密内部机制。

最令人惊诧的,是即使在360内部也属高度机密的 “V3升级机制”。当360要发动一场讨伐竞品的战争时,其便启动“V3机制”——通过“安全卫士”、“安全浏览器”,在用户电脑中私自卸载竞争对手的产品,私自安装自己要推广的产品,从而以最便捷的方式一举占领市场,这就是360常胜不衰的真正秘诀。

在这场看不见的战争中,360表现出两个粗暴:粗暴侵犯网民的合法权益(隐私权、知情权、同意权)、粗暴侵犯同行的基本权益,肆无忌惮地破坏行业规则,从而实现其“一枝黄花”式的疯狂成长。

360现象,不仅对行业有巨大的破坏性,对互联网秩序产生严重的破坏力,更是对整个社会产生“癌性浸润”。

这种“癌性浸润”,让原本的市场竞争转向了底层控制力的交战。《每日经济新闻》记者获悉,百度即将砸重金投向安全领域,最快将于今年上半年正式推出,这与经历“3Q大战”的腾讯进驻安全领域如出一辙。

更为可悲的是,为了防御360的“癌性浸润”,从底层控制到应用层几大巨头均涉足其中,这样带来的直接后果就是,未来中国互联网将变成一个腾讯、百度、阿里、360“四国顶立”的擎天柱式体系。而这将让一个个丰满、丰富的热带雨林式生态环境变成巨无霸们为生存而生灵涂炭的地方。

360会“立地成佛”么?这或许会是一场持久战……

《每日经济新闻》将持续关注。

(出于保护记者人身安全的考虑,本组稿件记者署名均为化名)

调查员独白:我为什么反360?

我先讲一个故事吧。

在现实生活中,我们都知道一个最简单的常识:小区的保安公司都是必须向业主收取服务费的。但是,某年某城市的一个小区,来了一个K保安公司,宣布他们将为小区提供免费服务。经过几轮波折,最终K保安公司实现接管小区保安业务。

K公司入驻后,当然全部换上K保安人员,并迅速换上K公司特产的小区监控系统——在小区的每一个视角都安装了监视体系。业主们觉得,这真是天下难找的大好事啊,居然能够免费获得最好的安全保卫。

不久,K公司出于安全考虑,将物业公司辞了,换上K安全物业公司;再接着,小区园林服务公司也换成K安全园林公司;再接着,业主所有私家车都装上了K安全GPS导航;再接着,K安全物流、K安全农贸、K安全服饰、K安全电视、K安全电脑、K安全冰箱与热水器、K安全门控与门锁……小区业主的所有一切都被换上了K安全的标志。

K安全公司能将业主的这一切统统换掉,只有一个原因:那就是,这一切“安全”方面的服务,都是免费的。

但有一天,B业主夫妇在家中行房事时,黑暗中发现家中有异样,打开灯一看,一个保安正在床前监控着这对夫妇的云雨过程。这对夫妇羞愤难当:你是怎么进来的?

保安说:我有钥匙,出于对你们性生活安全的考虑,我有权保护你们。

B业主夫妇找来安全方面的专家,来保护自己的安全隐私,结果却发现,保安不仅在夫妇行房事时可以进来“免费观赏”,他们在任何时候都可以自由进出业主的房间;他们不仅在小区的任何公共空间安装了监控系统,同时在业主室内的任何一个视角,都秘密安装了监控器。

这对夫妇决定召集全小区业主反对K保安公司的所有侵犯行为。

但让小区所有业主异常惊讶的是:就在开庭前一天,网络上突然出现大量B业主夫妇的信息,比如,B业主女臀部有三颗痣的图片在网络上大量流传;B业主夫妇的工资单被晒;B业主男与前女友10年的情书来往从其前女友的电脑中被挖出来。

B业主夫妇顿时陷入网络漩涡

……

在中国互联网领域,360所充当的,就是这个K保安公司。

在中国,为什么360能够获得如此重要的市场地位,除了用户在隐私权、知情权、网络自主权方面的意识不强外,最大的问题还是中国网民对互联网来说还是“小白”,他们没有办法看清360干了什么,也没有办法辨清什么是可行的,什么是不可行的;也不清楚360的一些行为在今天意味着什么,在明天又将意味着什么。

我脑海中,一直在重复卡夫卡小说《城堡》中的场景,你不知为什么,你也不知是怎么了,然后,你就任人宰割了。

森白的月光下,那把霍霍磨着的长刀……

——来自独立调查员的自白

技术篇

360:互联网的癌细胞

每经记者 秦俑

深圳,红树林,旁边就是深圳湾公园,有蜿蜒的海堤风景带;海的那端是云雾间的山峦以及错落的建筑,那是香港特别行政区。

经过前期网上100多天艰苦的技术交流后,《每日经济新闻》记者终于约到了“独立调查员”。这是我们之间的第二次见面。这一次,我们相约只做一件事情:将360(奇虎360科技有限公司,本文简称为360)在幕后所做的一些难以见光的行为,在网上重新演绎一遍。

这一过程漫长而复杂。几天几夜里,独立调查员展开的网络实证让人触目惊心,许多动态的过程无法通过平面文字呈现。事实上,独立调查员曾经在网上披露的内容,绝大多数网民也不可能看懂。

2012年10月,一个署名“独立调查员”的微博开始向360发难,时至今日,《每日经济新闻》记者已跟踪此人整整3个月:初始时基本上通过网络实现沟通,渐渐地,有了电话中的直接交流。

在思维碰撞中,记者发现,“独立调查员”对360的反感是深切的;他对360的研究也是深刻的。令《每日经济新闻》记者万分好奇而且不解的是:他的动力来自何方?

“如果你得了癌症,你的第一反应是什么?”独立调查员反问道,“那一定得赶快把它切除掉!而360正是网络社会的毒瘤。此瘤不除,不仅中国互联网社会永无安宁之日,整个中国都永无安宁之日。”

独立调查员分析说,不要小看了苹果对360产品下架一事,这种下架的期限极有可能是“永久性”。为什么一个在中国能够获得如此巨大影响力的公司,会在一家全球性大公司处遭遇截然相反的待遇?“这只能说明眼下的互联网空间没有能力排除自身的毒瘤。而苹果下架360,背后正体现出对肿瘤的自体免疫排斥性,这是一个网络社会健康的标志。”

独立调查员认为,他作为一名程序员,就是要从技术层面来理清360这个“DNA”的基因突变。“这个突变的基因,就是360安全卫士或360安全浏览器,一切都会发生改变。”

互联网其实与人体一样,本身具备着抗癌的免疫力。一旦发现癌细胞,自身会启动自动识别与排斥机制,比如“最小特权原则”就是互联网江湖防止自身“癌变”的免疫机制。

所 谓 最 小 特 权 (LeastPrivilege),指的是“在完成某种操作时所赋予网络中每个主体 (用户或进程)必不可少的特权”;最小特权原则,则是指“应限定网络中每个主体所必须的最小特权,确保可能的事故、错误、网络部件的篡改等原因造成的损失最小”。

这一特权最通俗的说法就是:你不要代替用户行使权力,你的特权越小越少越好。这样,才是对用户最大的保护。能不作为处,不作为。

“而奇虎360的‘基因变异’正体现在此处,表现为 ‘奇虎360原则’——以安全的名义,在用户知情或不知情的情况下,直接代表网民行使权益。”独立调查员说,“其实,最小特权原则非常简单。比如一个电话检查员,为了检查你家的电话是否正常好使,便在主人不在家时,直接打开你家的门,试用了一下电话;或者说,因为你家的狗在叫,物业打开你家的门,直接将狗杀了。这都是违反了最小特权原则。而360最大的问题就是以安全的名义,践踏了这一原则。”

360是如何通过环环相扣的程序设计,就像本文开头部分的K保安公司监控业主夫妇房事一样,或就像电话检查员径直打开主人房门查线一样,或就像物业工作人员直接打开业主房门进去把主人的狗杀掉一样,在用户的电脑里横冲直闯、恣意妄为?本文将为读者揭开360相关产品背后的层层暗箱操作链条。

技术篇之一·黑匣子

360产品内藏黑匣子:工蜂般盗取个人隐私信息

每经记者 秦俑

这是一件真实的事情:多年前,业内一家知名IT公司一个产品将上线,但蹊跷的是,该产品上线前一天,360的同类产品突然上线。而且,360上线产品的页面与该公司准备上线的版本几乎一模一样。这家IT公司的此款产品不上线已不可能,而改版也已不可能。被逼无奈之下,该产品只能硬着头皮上线。让这家IT公司哭笑不得的是,由于此款产品上线时间比360同类产品晚一天,所以用户普遍认为,该公司的产品抄袭了360产品。

此类诡异怪事,在业内已不止一次发生。

谁是泄密者?上述IT公司最终未能找到“卧底”,不过开始将质疑对象聚焦在360产品身上。因为实查结果发现,该公司不少员工电脑上安装了360相关产品。

出于安全考虑,该公司要求所有员工的工作电脑中不得安装360产品。与此同时,公司内网环境中,全面禁止360产品。从此,确实没有再发生过类似的泄密情况。

据《每日经济新闻》记者了解,国内最早全面禁用360产品的企业为腾讯、百度、金山等一批公司。在这些公司的办公环境中,完全屏蔽360产品,如确因公司研究性工作需要,才可以安装虚拟机使用360产品。

国内几家互联网巨头公司,均以安全为由禁止使用一家以互联网安全著称的公司的相关产品,这在中国IT界构成了一道未解的谜团。

大型公司尚且对360产品避之不及,对于普通用户来说,使用360相关“安全”产品,安全吗?

在中国有“黑客教父”之称的安全技术专家“黑客老鹰”,即IDF互联网情报威慑防御实验室创始人万涛认为,从隐私保护和用户权益的角度讲,360产品确实存在需要澄清的地方。但中国用户目前在隐私保护方面的意识并不强,这是一个比较普遍的现象。因为对许多用户来说,“我上网就是看看新闻,玩玩游戏,我没有隐私”。这一观点非常流行。

万涛表示,而在另一方面,多年来尽管民间在破获360侵犯隐私等方面做了许多努力,并查获了许多证据,但360在这方面的“反应”也非常“严密”。此外,获得的一些突破性证据因为过于专业,也不易让普通用户看懂,因此也就缺乏相应的感知。

黑客揭秘:360安全产品背后的“安全”陷阱

在深圳红树林,独立调查员为《每日经济新闻》记者进行了现场演示。他特意在自己的电脑上安装了360安全浏览器,并打开网络通信监视工具,这时可以看到,360安全浏览器在其电脑后台上就像一只工蜂,始终不停地忙碌着。

然后,独立调查员又打开IE、腾讯、猎豹、chrome等浏览器,每一个浏览器都很安静,没有任何动作。

转播到腾讯微博
360黑匣子之谜——奇虎360“癌”性基因大揭秘

“360安全浏览器在干嘛呢?谁也不知道。为什么要这样忙碌呢?作为浏览器,其作用就是可以显示网页服务器或者文件系统的HTML文件内容,并让用户与这些文件交互的一种软件。根据最小特权原则,你是没有理由在我的电脑里不停地‘工作’。你要问他在做什么,他就说,是为了你的安全。”

“明明知道360在做不应该发生的事情,但不知道发生的是什么事情。这就是360留给中国所有安全专业人员最大的课题。”独立调查员解释说,这是因为360在这方面做了非常缜密的设计,其防御体系相当严密,要突破防线有所收获,是件非常困难的事情。

而这,也正是许多从事安全的专家们感兴趣的事情。

2010年2月6日,360多年的宿敌——瑞星拿出了一份 “证据”,其发布的《奇虎360利用“后门”拿走了用户什么》一文,利用大量技术细节说明360安全卫士在安装进用户电脑时,会偷偷开设后门,并时刻监视用户访问网站,将相关信息上传至360网站。

此事标志着360第一次露出“不安全”的真面目,从此一发而不可收拾。

据《每日经济新闻》记者调查,国内有一大批黑客对破获360的防线,以及搞明白360这个黑匣子内到底有什么非常感兴趣,想通过攻击360而获得其侵犯用户隐私信息的证据。他们之间甚至有一个松散型的组织,经常交换这方面的信息。但与此同时,也有些黑客最终被360“招安”,成为其公司成员。

2010年12月31日,在黑客狂轰滥炸360服务器后,360防线被攻破,存储于其服务器上的大量用户隐私数据喷涌而出,被谷歌(微博)搜索爬虫自动抓取,并公告天下。360多年来宣称的 “用户隐私大于天”的谎言正式被揭穿。

转播到腾讯微博
360黑匣子之谜——奇虎360“癌”性基因大揭秘

上图为某网民通过360safe.com泄露的数据登录某政府机关的内部邮箱

这份意外泄露的文件详细记录了大量360用户的全网访问过程,包括浏览的网页、下载过的应用、搜索的关键字等,并将这些访问记录与唯一用户挂钩。在这个服务器中,每个用户对应一个字符串,通过查询字符串,可以了解用户的所有个人信息、上网浏览记录、账号密码,例如用户在百度搜索关键字、淘宝购物记录、金蝶、奇瑞等企业内部财务网络数据、某政府机构官方邮箱用户名及密码等链接数据。

《每日经济新闻》获得的一份对泄露日志文件分析统计的结果显示,此次泄密事件涉及总条数141万条,其中涉及用户名信息的条目有247326个,既包含用户名又包含密码条目有816个。而这对于360收集的海量数据来说只是冰山一角,截至目前为止,360从没有公开解释被泄露的数据总量有多少,被下载了多少次。

然而,有关360如何“利用”用户的信任,如《全民公敌》影片中的卫星一样“间谍”式地监控着用户的电脑,这个谜团却依然没有办法破解,至今没有一家安全厂商拿出这个过程的有力证据。

独立调查员告诉记者,360安全卫士、360安全浏览器,其内部运作流程就像一个暗箱,外部人可以听到里面有动作,但却没有办法知道里面发生了什么,以及它如何阻止外部人破解它。

而独立调查员却偏执地选择了这条破解之路。他先制作了一张简单的图表,以揭示360拳头产品360安全卫士内部的操作模型(如图)。

转播到腾讯微博
360黑匣子之谜——奇虎360“癌”性基因大揭秘

从这个图中可以看出,360安全卫士对用户在电脑上进行软件操作、文档操作等所有操作举动均秘密进行监视、记录,然后进行压缩后上传至云端服务器;过去,上传的过程为明文上传,这对用户的隐私带来非常严重的威胁,在经历过几次大的泄密事件后,目前上传文件已经加密。

文件上传到360云端存储后,文件会立即在本地被删除,这招防御术非常凶狠,即使有人破解其行为,并获得文件证据,但因为随时的删除,很难将证据做实,变成死无对证的孤证。

用户电脑中的360安全卫士这一套运行机制都是事先预设好的,可以独立操作完成;但实际上,360云端(360安全数据中心)对用户客户端的360安全卫士具备直接控制能力。360云端不仅可以下达专门的指令(后文还将详述),同时一旦360安全卫士发现有人在监视其通信操作等,会发出安全警告以阻止继续操作并限时自行禁止。这也给破获工作带来相当程度的干扰。

据一名多年研究360产品的黑客告诉《每日经济新闻》记者,“设置如此高难度障碍的人一定是行业的高手。可以断定,360内部一定有国内顶尖级的黑客高手。他们才有可能做到既做暗事,又不留任何把柄。这就像是一个江洋大盗,来无影,去无踪,飘忽不定,作案后现场不留任何痕迹,实在是高精尖的设计。”

这名黑客发现,360安全卫士的暗箱操作行踪越来越没有规律可循,换句话说,其运作规律经过精心策划,非常不容易被外界掌握。同时,其获取信息的区域半径越来越由中心城市向二、三、四线城市延伸。这样的话,要想抓到证据就更为艰难。“中国拥有30多个省级行政区,336个二级行政区,还不包括数以千计的三级、四级行政区,这就相当于360安全卫士在中国网民的生活中布下了天罗地网。”

据《每日经济新闻》记者调查发现,国内不止一家公司准备投入大量人力来破获360的违法行为,但最终都偃旗息鼓。原因就在于,360收集用户信息的行为 “就像空中划过的彗星,茫茫夜空,布下天罗地网,时刻守候,才有可能有所斩获,这样的投入产出比太低了”。

黑匣子现身:对用户个人信息涉嫌暗箱操作

“破解360安全卫士的非法操作,是一件很好玩的猫捉老鼠的事情。”上述黑客向《每日经济新闻》记者感叹说,360安全卫士的技术架构非常复杂,组件有很多程序,软件包有几十个可执行的程序,还有扩展库。如果要查清楚是否侵犯用户隐私,则需要对每个程序进行分析,就像分析病毒一样地分析每个文件,而这需要投入大量的时间和精力。

这名黑客给记者展示了许多“同行”间来往的邮件,此中展现出破解之后的喜悦,以及经验的交流。

转播到腾讯微博
360黑匣子之谜——奇虎360“癌”性基因大揭秘

而独立调查员宣称,他“已基本破解了360安全卫士的谜局,但离发布还为时尚早”,因为他要做“铁板钉钉的事情”。

在《每日经济新闻》记者保证不会将其操作思路披露的情况下,独立调查员将其操作的核心步骤进行了详尽的现场演示。在征得其允诺的情况下,记者可以告知的是:针对360的设置,进行反向操作,反向分析而破解。

到目前为止,已经披露的最重要证据为独立调查员于2012年12月6日在其微博上发布的一个视频(http:/weibo.com/2902756801/z8BUvfWqe)。这份视频详尽地破解了360安全卫士秘密获取用户信息的过程。

转播到腾讯微博
360黑匣子之谜——奇虎360“癌”性基因大揭秘

独立调查员告诉记者,这份13分36秒的视频以完整的手法记录了破获360窃取用户隐私的证据。它证明了360在用户电脑中收集、上传用户信息的“动作”,“猖狂到任何简单的、常规的软件操作行为都将被记录,与安全问题完全无关,而这些信息都在用户个人隐私范畴”。

但据独立调查员宣称,这份视频资料并非其采集、制作,“而是来自一名自称是安全领域专家的匿名人士”,他通过微博私信向独立调查员爆料:自己已经掌握了360安全卫士7.3窃取用户隐私并上传到360服务器的司法证据,现在可以无偿将这段司法证据给他。

而关于这份证据,独立调查员认为,将是未来给360的“一颗小小的炸弹”,在法庭上是有力的呈堂证供。

据记者了解,去年11月28日,在易观国际主办的“易士堂”网络安全论坛(第二季)论坛上,这份视频资料也曾分享给包括国家信息中心、中国信息安全测评中心等安全业界人士;而最初制作这段视频并进行司法公证的正是金山安全专家李铁军(微博)。不过李铁军否认自己就是给独立调查员爆料的匿名人士。

据李铁军透露,2010年11月,卡饭安全论坛有人爆料称“360安全卫士7.3的某个版本会窃取用户隐私上传到360服务器”,爆料的内容非常简单,只提供了一个有趣的细节暗示:需要用户在360loginfo目录对删除权限做一个修改才有可能捕捉到360的罪证,帖子不久就消失了。

李铁军首先尝试重现帖子描述的问题,而不是对软件进行逆向分析,经过数月才完成了这一个证据的抓取。

“反反复复不知道试了多少回。”李铁军对《每日经济新闻》记者表示,凭借多年的经验,他终于找到了关键所在,比如有窃取隐私问题的360安全卫士版本号为7.3.0.2003l,数字签名时间为2010年11月8日,要想重现必须将360loginfo访问权限修改为“所有人不可删除”;再比如安装时修改系统时间与2010年11月8日不能相差太久,安装前须断开网络(禁用网卡或拔网线)。

即使这样,也有一些情况在李铁军“意料之外”。

“开始想到的是禁用网卡和改360loginfo目录的访问权限,但奇怪的是,有时能在安装后几分钟内即可在360loginfo目录看到日志生成,有时等几小时都不能重现,于是尝试将系统日期从单数修改为双数或从双数修改为单数,结果很快看到奇怪的日志文件出现了。”李铁军表示,这几条重现规则是反复多次尝试之后才总结出来的。

而上述结果也在曝光之后第一时间得到IDF互联网情报威慑防御实验室的验证。2012年11月25日,该实验室发布报告表示,360安全卫士v7.3.0.2003l所搜集用户软件操作信息,对用户隐私造成风险,若用户运行 某 一 程 序 ,360安 全 卫 士v7.3.0.2003l会把程序所在路径搜集并未经加密上传至360服务器。若360公司所存放信息的数据库泄露或传输数据被黑客截取进行社工分析,可造成用户的信息泄露。

万涛对《每日经济新闻》表示,根据之前的评测报告,360安全卫士v7.3.0.2003l对用户信息的处理涉嫌未遵守其中的用户知情权、选择权及禁止权,并在未获得个人信息主体的明确同意下记录和上传用户行为数据。

值得注意的是,已于2月1日正式生效的我国首个个人信息保护国家标准 《信息安全技术公共及商用服务信息系统个人信息保护指南》明确规定,个人信息获得者在收集个人信息时,需“具有特定、明确、合法的目的”。基于此,在收集前要采用个人信息主体易知悉的方式,向个人信息主体明确告知和警示如下事项:处理个人信息的目的;个人信息的收集方式和手段、收集的具体内容和留存时限;个人信息的使用范围、被收集后的个人信息保护措施、个人信息主体的投诉渠道;同时提醒个人信息主体提供个人信息后可能存在的风险和个人信息主体不提供个人信息可能出现的后果。且“只收集能够达到已告知目的的最少信息”。而信息获得者如需将个人信息转移或委托于其他组织和机构时,也需要向个人信息主体明确告知转移或委托的目的、转移或委托个人信息的具体内容和使用范围、接受委托的个人信息获得者的名称、地址、联系方式等。

很明显,360公司在个人信息的收集、加工、转移、删除等环节,明显将行业的游戏规则抛诸脑后,一意孤行地进行着暗箱操作。

技术篇之二·后门

360后门秘道:“上帝之手”,抑或“恶魔之手”?

每经记者 秦俑

“作为宣称‘最安全的浏览器’的360安全浏览器,被发现存在极大潜在安全威胁的‘后门’。毫无疑问,‘独立调查员’是第一人。即使给他颁发一个国家级的科技发现奖也不为过。而且,多少年后,人们一定会感谢这位幕后的英雄,为了广大用户的上网安全,做出了卓越的贡献。”百度安全部门的相关负责人如此评价360安全浏览器“后门”发现者。

按照独立调查员的理解,所谓360的后门,不仅存在于360安全浏览器,也存在于360安全卫士。他说,“你这样来看,在你的小区,保安说,因为安全的需要,你们要将房门的钥匙放一把在我身上,我可以随时来检查你家庭的安全。这本身已经非常大的不安全了,但你更不知道的是,这个保安公司,还在地下挖有一条通道,可以直接从地下通过地道悄悄进入你的房间。而这个地道,就是后门。”

360后门秘道浮出水面

2012年10月,当时“方周大战”正酣,独立调查员才注意到了360安全产品,因为他一直是裸机,从未想过要关注360。但这一关注,他敏锐地发现,360“非常异类”——许多行为不仅是反安全的,甚至是“反人类的”。

独立调查员特意在用于测试的虚拟机中安装了全套360产品,并由此发现360产品的许多 “不规矩行为”,他随手将这些发现发布在微博上,立即引起许多关注,但也遭到一些人的攻击。“有些人明显就是360的人在挑衅,这激怒了我,我这人不喜欢耍嘴皮子,我是软件专业人员,我只讲证据”,独立调查员如此说。

独立调查员发现,360浏览器网络通信有非常异常的情况,“最开始只是发现其时间周期性:每隔5分钟,浏览器就主动发起一次与服务器之间的通信过程,虽然不知道在干嘛,但其短周期性非常可疑。”

为什么不打开任何网页、不动键盘和鼠标,360浏览器依然忙个不停呢?“国内外所有的知名浏览器都不会存在这样的行为模式。可以肯定,此中必有蹊跷”。

于是,他继续追查,虽然下载的文件名是文本文件(ini),但当他把数据包拼接成文件后一看 (当时尚不知道服务器IP地址对应域名,受服务器限制未能通过网址直接下载文件,也尚未注意到文件被暂存于临时文件夹),实际是个DLL(可动态加载的程序模块)。“以我的知识和经验,很快意识到问题的严重性——以更新配置文件为耳目、周期性下载并加载执行小程序——这是一个后门。至于360利用它做什么、曾做过什么并非重点,重点是他们可以做任何事而不为人知、不留痕迹。”

于是,他于去年10月29日通过微博对外公布了360浏览器有后门的事实,同时公开向工信部、公安部发出了一封名为《公开举报奇虎360公司——致工信部、公安部公开信》的举报信。

《每日经济新闻》记者注意到,在这封举报信中,独立调查员直接斥责道:“奇虎360公司的 ‘360安全浏览器’暗藏‘后门’,是用户系统安全和信息安全的严重潜在威胁”。

他举证说,360安全浏览器实为C/S架构木马系统的客户端,服务器群是se.360.cn(云架构,IP地址不定)。浏览器每隔5分钟即向服务器请求新的“指示”。新的指示伪装成Ini(纯文本文件类型)发出,实际上是DII文件(Windows可执行程序库或资料库)等。

此事一石激起千层浪。不过,具有挑战的是,独立调查员的分析结果仅仅是网络分析,是“后门”机制的初步证据和技术推断,而非直接的铁证。正是因为这样,360开始在网络上对其进行质疑、攻击,甚至嘲讽。

“他们以为我只会网络抓包呢!”独立调查员表示。于是,为了做实360的后门机制,他决定反向分析浏览器本身的程序库,并详细分析出“后门”机制的内部执行流程。

然而,这并非一件容易的事情。“因为没有软件源程序、更没有设计文档,所以分析难度相当大。给你个软件,只能进行其公开可见的操作,而内部运作却完全是个黑洞。”独立调查员表示。

源程序(源代码)自然没有。而要通过反向工程来破解,难度相对较高,也非常浪费时间。何况360浏览器软件规模不小,而且还有很多内置的扩展程序。

“我首先用排除法把扩展组件挨个干掉,我删掉一个扩展组件,如果后门机制还在,说明与这个扩展组件无关。”独立调查员最开始的直觉是后门应该在扩展程序里面,因为主程序要送检,但是当独立调查员把可见的扩展程序全部删掉后,后门还在,于是他开始删(对普通用户)不可见的扩展组件。

“通过排除法,最后确认是扩展组件SmartWiz在搞鬼。删掉它以后,浏览器就安静了,那个5分钟一轮的上传下达活动消失了。”

不过,还没有结束。为了进一步查明360后门真相,独立调查员还需要反向编译出汇编代码并跟踪测试。

通过一系列技术过程,独立调查员掌握了360浏览器在SmartWiz整个组件里与360服务器间建立通信、下载、临时存储、加载执行、删除(销毁证据)的流程,同时也知道了其时钟控制调度机制(5分钟间隔定时器)。

360后门的安全之殇

360安全浏览器设计出来的后门,恰恰给用户带来了极大的不安全。

为了让用户知道这个后门的恶劣程度,一直涉足互联网安全工作的腾讯集团副总裁曾宇,对没有后门的浏览器的重要性做了解答(如图)。

转播到腾讯微博
360黑匣子之谜——奇虎360“癌”性基因大揭秘

一般个人用户的电脑中,90%以上为windows系统,这套系统与互联网之间的联系,是需要浏览器来实现的,同时,因为浏览器的闭环作用(可以理解为没有缝的鸡蛋壳,除非用户特别授权),其也是windows系统与互联网之间的天然屏障,任何来自于其他云端的指令等,都不会穿透这层保护而到达windows系统。这样,用户电脑中的windows系统得到最好的保护,所有执行的指令,都是来自于用户自己。

而IDF互联网情报威慑防御实验室创始人万涛则对浏览器后门做了解读。他说,被称作360“安全”的浏览器,却有一个特殊的资源文件,这个资源文件硬生生地将这个蛋壳打开了一条缝,而且是一条用户看不到的缝。

通过这个后门,360浏览器可以根据监视用户电脑操作过程中出现的情况,向360云安全中心发出请求,360云端的后门服务体系根据请求,给出相应的DLL,即windows可执行程序库。这个DLL通过360浏览器的后门,直接进入用户的windows系统。

此时,这个DLL好生了得,它甚至已不受浏览器的控制,它在用户windows系统中可做的事情包括但不限于:

获取用户的文件,并上传到云端;

读写、增删用户的文件;

监听用户通讯;

更改windows系统的注册表或重要的设置参数;

悄悄卸载竞争对手的产品,等等。

同时,这个DLL还可以通过这个后门,直接对互联网发出指令,包括但不限于:

自动从360服务器下载软件来安装或运行;

代替用户直接进行电子商务操作;

释放木马或病毒、创建常驻系统的服务,等等。

360是否做了这些呢?如果做了,对其自身又会有怎样的价值呢?会对行业、用户带来怎样的伤害呢?没有人知道答案。

“搞清楚这些细节后,我就着手重现后门机制的运作,让本来不可见的过程变得可见,以做可视化演示,让大家不仅能感知而且能 ‘看到’360暗设的这道‘后门’。”独立调查员表示。

在他看来,360那个后门每5分钟都会找360服务器下载一个DLL并加载执行,但它是个后门,隐蔽性第一,因此DLL无论如何不会现身,不存在弹出对话窗口或消息框,因此需要给它模拟一个测试环境。

“通过在本地架设DNS服务,劫持360.cn的域名解析,把我的机器伪装成360的服务器,然后那个注入浏览器的DLL不就由我自由控制了么?”独立调查员表示,通过编一个只要被加载执行就马上弹出消息框的DLL,拿自己写的DLL注入给360浏览器,这就让360浏览器的后门机制的运行完全可见了。

就这样,浏览器果然如预期的那样,把独立调查员在DLL里面写的消息框给弹出来了。

转播到腾讯微博
360黑匣子之谜——奇虎360“癌”性基因大揭秘

“被活捉啊!”从去年10月29日的公开信到11月5日的反向工程分析研究,前后仅为六天(仅利用业余时间)。

一个细微的细节是,独立调查员为了让更多的用户知道360暗藏后门的事实,还将其调查结果通过65分钟不间断的视频进行全网络直播。由于要保证视频内容真正做到65分钟不间断、不剪接,而实际上他花费了4个多小时一次次现实演示,直至实现一次性完成,才算真正完成这一取证工作。

独立调查员指出,可执行文件DLL绝非软件的自动更新(软件更新是持久性的),360安全浏览器自动更新仅在启动时执行一次,与此行为无关;而它也不是浏览器的一部分,下载、暂存、加载调用后将立即被删除,完成使命后,不留任何痕迹。

360后门:绑架用户的遥控器

独立调查员的这一发现发布后,立即在业内引起巨大震动。

以电子取证为主业的独立第三方IDF互联网情报威慑防御实验室立即跟进,对独立调查员的举报结论进行重复性认证,结论为:360安全浏览器v5.0.8.7的ExtSmartWiz.dll文件的属性、行为及反编译内容与独立调查员描述完全一致。

万涛表示,在当时的检测中,即使在关闭360安全中心可以关闭的功能,包括网址云安全、广告云拦截、第二代防假死、沙箱保护,在未进行任何浏览器操作情况下,仍然可以抓取到ExtSmartWiz.dll请求服务器文件及下载服务器文件记录,而这些并未包含在《360用户隐私保护白皮书》有关“360安全浏览器的隐私保护说明”中。

业内一位安全专家认为,360浏览器利用后门通过秘密手段,每5分钟操作一次程序性动作,究竟做了什么?现在不易获知,相信终有一天,360内部的程序员等知情人士会将此完整地披露给大众。但可以认定,360这一行为有不可告人的目的,最为正面的理解是:如果全国要抓贪腐,可能不再需要小三、二奶们自告奋勇地献身了,只要打开360浏览器,贪腐只要是上网的,基本上其丑行就可以通过360安全浏览器、360安全卫士这个后门机制暴露无遗了。

针对独立调查员的证据,360方面至今也无正面回应。

据独立调查员的最新消息,360安全浏览器5.0版的“后门”机制仍在运作,但360服务器已不再通过“后门”下发任何DLL,仅下发空文件(文件大小为0的文件)。

对360安全浏览器最新版(6.0.2.202)的网络通信监测表明,在未打开和浏览任何网站的情况下,浏览器仍然在与360云服务器密集通信,但与5.0版的情况明显不同。这里是否藏了什么新的秘密?

独立调查员对此已作了尝试调研,他告诉 《每日经济新闻》记者,“有关结果,在合适的时候会披露出来。”

“此中有一个不易注意的细节,”独立调查员告诉记者,“当时,360安全浏览器产品经理陶伟华在回应我的微博时,就把我指出的ExtSmartWiz.dll文件名篡改成SmartWizRes.dll,而现在其6.0版本恰恰就是现在的‘SmartWizRes.dll’,可见其早已有想通过偷梁换柱的方式掩盖其恶行。”

据多位安全专家表示,“后门”并非360独创,原来,其作用为“方便之门”。最著名的“后门”软件为灰鸽子(Hack.Huigezi)。其诞生于2001年,原本是一款优秀的远程控制软件,其后门机制作用为方便实施远程控制。但正是这“后门”机制,又使其成为集多种控制方法于一体的木马病毒。一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件等皆手到擒来。因此,自其诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发了安全领域的高度关注,同时成为全球公认的“毒王”。

360安全浏览器比“灰鸽子”更为危险的是,它的市场占有量很高。根据艾瑞咨询此前发布的数据显示,360最主要的产品360安全卫士的市场份额已经高达84.41%,同时360也拥有国内最大的浏览器和网址导航份额,所占市场份额大致为30%。这也意味着数亿量级360浏览器安装于用户的电脑中,如果有人破解360安全浏览器,从而控制这个后门的话,那将是灾难性事件,它导致一个国家的瘫痪都是完全可能的。因为360安全卫士、360安全浏览器早已进入了中国大多数用户的电脑。

万涛进一步指出,更为令人担忧的是,360的“后门”控制属于云端,至今仍秘而不宣。“凡安装360安全浏览器或360安全卫士的电脑,都已客观上成了360可以任意支配的‘肉鸡’。而360目前在许多领域中的不正当行为,都是基于其安全入口的裁判员机制而实施成功的。”

而来自金山的反病毒专家李铁军认为,360浏览器的后门机制,实际上已绑架了用户,成为360通过用户的浏览器来直接攻击竞争对手的工具,包括阻止或杀死竞争对手的各类客户端软件,阻止其中的重要程序,破坏竞争对手软件的功能等等。“这样的丑行只有中国才有,是世界上惟一的先例。”

商业篇

360:互联网的“一枝黄花”

每经记者 秦俑

自由评论人、技术经济观察家瞬雨给《每日经济新闻》记者讲述了一个历史故事:

1935年,上海从北美引进“加拿大一枝黄花”作为观赏植物,因其艳丽多姿,多用于插花配花。然而上世纪80年代,因其具有极强的繁殖和快速侵占力,同时,其根系会释放乙炔气体抑制其他物种生长,从而导致“加拿大一枝黄花”扎根之处,所有植物均迅速死亡,甚至使上海30多种植物物种消亡,从而被列为恶性杂草。几十年来,许多地区一直在进行剿灭“加拿大一枝黄花”行动。

瞬雨认为,360很像中国互联网界的 “一枝黄花”。360董事长周鸿祎一直强调“破坏性创新”,这正是“一枝黄花”的最好注解。

对于360及周鸿祎,外界基本上分为两个阵营:爱之者为之欢呼,恨之者为之切齿。而欢呼者,正是出于对其破坏性快感的获得,以及对其破坏过程中所呈现的“流氓特性”的认可;而切齿者,则不仅因其对整个互联网社会的强大破坏力,更缘于其不断地突破底线,以及对人们价值观的不断挑战。

“破坏是一件容易的事,而建设才是根本。创新不能总是以破坏为代价。”瞬雨向《每日经济新闻》记者表示,“酿制出一只青花瓷瓶,或许需要数月甚至数年的精到功夫与时间,但破坏它,一锤子砸它,只需要一秒钟。”

瞬雨认为,360更大的危害,在于其还有许多人们所不能见的潜在威胁:360安全卫士、360浏览器的“癌性基因”。

作为互联网安全厂商,最重要的特性,就是恪守“第三方安全”准则:不得随意代替用户作决定或处理;不得以安全的名义,为厂商自己牟利;不得在安全领域,既当运动员,又是裁判员。

但360恰恰就在这些方面,完全违背了安全厂商的基本准则。当360安全卫士、360安全浏览器植入用户电脑的时候,360便通过它们在用户知情或不知情的情况下,直接代替用户做决定,完成各种动作。

“这样的产品在市场上将是无敌的。”瞬雨举例说,“一场拳击赛,A方只可以以拳击打对方的有效部位,但B方却可以手脚并用,并可以攻击你的下三路,那A方必输无疑。”

这是360致胜的法宝。

而在掠夺市场的过程中,360安全卫士、360浏览器恰是一对并蒂的“恶之花”。

商业篇之一·生意经

360生意经:圈地运动与癌性扩张

每经记者 秦俑

转播到腾讯微博
360黑匣子之谜——奇虎360“癌”性基因大揭秘

近日,百度要求凤巢(百度搜索营销管理平台)用户安装安全插件,以检验浏览器的安全性。而360以用户名义,给予这个插件以 “网友差评”标签,并通过其系统,认定该插件为“偷拍插件”。然后,在360安全卫士的“清理插件”功能下,直接诱导和恐吓用户卸载该插件。

360凭什么将百度这个插件定义为“偷拍插件”?凭什么要用户卸载?事实上,全球其他所有浏览器均对上述插件无异议。

转播到腾讯微博
360黑匣子之谜——奇虎360“癌”性基因大揭秘

独立调查员向《每日经济新闻》记者分析说,360软件 (含互联网服务)产品,涵盖安全防护(安全卫士、手机卫士、杀毒等)、操作环境(浏览器、桌面、软件管家等)、工具软件(五花八门)、游戏平台、导航搜索和电商网站等,“如果把电脑系统比作软件产品的运动场,从安全角度看,安全防护产品是裁判员,其他产品则是运动员”。

很显然,360兼具裁判员、运动员双重身份。

做为裁判员,360能否公平对待同场竞争的运动员(竞争对手)和看台观众(用户),是人们判断其价值最关键、也是最重要的因素。

“我们无法想象,微软会通过Windows产品不断提示用户IE才是安全的浏览器、借网民的名义指控Google搜索是钓鱼网银的帮凶、腾讯电脑管家是最差的安全防护产品;我们无法想象,微软通过Windows产品把用户安装的所有浏览器的默认首页都强行设定为自身的官方网站;我们无法想象,微软会通过Windows产品向全球电脑秘密下达卸载Chrome浏览器的指令;我们无法想象,微软Bing搜索引擎盗用Google搜索引擎的结果数据。”独立调查员说,“是的,善良的人们无法想象,更无法接受这一切,有社会责任感的企业公民对此都会嗤之以鼻——‘我们绝不这么干!’”

独立调查员认为,360有两条“成功密钥”,第一,是以“民事诉讼8连败”为代表的发展模式:先踩法律底线,以求先发展——在中国,360钻了品牌与道德成本太低的空子;第二,就是以安全和免费名义 “绑架”用户,然后以安全裁判员的身份,展开“竞争”。

以“永久免费”为口号,360安全卫士及其关联产品很快占据较高市场份额。

“电脑安全性评分”是360安全卫士最重要的基础性功能。360安全卫士会自动扫描客户端所在系统的“安全隐患”,不符合360“安全标准”要求的就扣分,但评分标准和权重并不公开。

比如全新安装的Windows7,在开启自动更新、尚未安装任何第三方软件前,360安全卫士对其安全评估结果竟是0分 (满分100分)。这个0分意味着什么?Windows真的很不安全?实际测试发现,根据其安全警示清单一项一项 “优化或修复”后,评分逐步增加,但始终处于低位、不到60分,直到“优化浏览器”并“锁定首页”后,安全性评分迅速接近满分!事实上,所谓“优化浏览器”就是“安装360浏览器并设定为默认浏览器”,“锁定首页”就是“修改首页为360导航”。

需要修复的项目还有 (不限于):卸载“差评插件”百度浏览器工具栏、优化IE(实为篡改IE的首页、标签页、默认搜索引擎为360的有关服务)、删除收藏夹中对手的项目(百度、腾讯、谷歌等)等等。

360安全卫士甚至曾伪装成微软 Windows补丁安装程序KB360018,以“IE6内核升级”的名义欺骗用户安装360浏览器。国外权威技术网站SystemExplorer已将360的这个假冒微软系统补丁文件定为“100%安全威胁”,从而使后者遭遇微软调查。

尤其是360安全卫士在评分后的“一键修复”功能,更是其占领市场的利器。其借助傻瓜式的“一键修复”,导致用户在电脑上用什么、不用什么,都由360安全卫士说了算,至于是否都与安全性有关,一般用户自然看不出门道,相反还会对360的这些“强奸”行为“感恩戴德”——这些用户原本连安装或卸载软件的操作都不熟练,而360安全卫士就是一台“傻瓜相机”。

事实上,360安全卫士不只是一台“傻瓜相机”,其云安全数据中心动态控制着一切,可以根据360自身需要更改其软件资料库、评分标准和权重,随时准备向对手发起“云查杀”以保护自身利益。

独立调查员向 《每日经济新闻》记者分析说,360的发展路径,即从360软件产品底层技术构架开始,埋下不同于所有互联网公司发展的“癌变基因”,然后,此“癌变基因”通过浸润,向操作环境领域发展,再向工具软件、游戏平台发展,最终进入真正的互联网领域——导航、搜索、电商网站,以及电商网银体系等。

转播到腾讯微博
360黑匣子之谜——奇虎360“癌”性基因大揭秘

360绿色网站的安全谎言:“偷梁换柱”浸润电商网银安全体系

2月6日,360官网上一条 “网购首选,3亿用户的共同选择”的广告悄然上线。打开这条广告链接,以“网购安全”为主题的新款“360安全浏览器”赫然在目。

据《每日经济新闻》记者获得的360内部信息,360将借今年的“3·15”活动,大力推动与国内电商企业的合作,以将360安全浏览器植入电商领域。这则推广广告,正是这一步骤的前奏曲。

据记者调查,360两年前开始布局电子商务安全领域,其最先打出的 “安全产品”是 “网银无忧”、“地址栏铭牌”,即360浏览器主推的“绿色网站认证”。

360向人们传递的信息是,“360绿色网站认证”可以确保用户使用网银以及电子商务交易安全。

众所周知,电子商务的交易安全,尤其是网银,一直是网民、乃至整个社会焦点关注的问题之一。欧美、日本等国家的网银安全体系非常复杂与发达,而国内的网银体系,也是在小心设想、小心求证的前提下,一步步地展开。

那么,360是否真的具备这个能力——取代网银服务提供者身份验证体系,由自身来充当网银“保镖”呢?

独立调查员怀疑360公司是否具备这个能力。于是,他进行了如下实验,以了解360绿色网站认证机制:

在本机模拟,将招行网银域名劫持到IP为50.63.127.126(xliar.com)的网站,并在目标服务器上构建相应目录体系和登录页文件,然后使用360安全浏览器访问招行大众版登录页,从而进入伪装的招行网银页面。

360网购保镖自动检测招行运行环境,几秒钟后完成检测,报告“本次检测未发现风险,现在可以放心网购了!”

此时浏览器地址栏铭牌显示为“招商银行”,点击后弹出“通过绿色网站认证”,披着“招行网银”外衣的劫持网址,即被360认证为招行官方网站。

转播到腾讯微博
360黑匣子之谜——奇虎360“癌”性基因大揭秘

而同样的操作,使用IE浏览器访问时,IE浏览器地址栏则会以非常显眼的方式告知用户“(网站数字)证书错误”,点击错误信息可知,该网站证书不属于招商银行网站。

转播到腾讯微博
360黑匣子之谜——奇虎360“癌”性基因大揭秘

事实上,用国际主流的浏览器均会弹出类似的错误提醒警示,用户收到信息后自然会停止交易、避免损失。

这意味着,如果一家诈骗网站通过域名劫持招商银行网站,所谓的“360绿色网站认证”并不能有效执行网银保镖的辨识功能,进行安全认证。

360安全浏览器的安全检查能力为什么会如此之低呢?

据 《每日经济新闻》记者了解,目前国际主流的认证机构为VeriSign,包括中国工商银行、中国建设银行、中国银行、中国农业银行均采用该机构认证。招商银行网页所显示的,也正是该机构的认证,这也作为网上银行安全的基本保证而得到公认。

而独立调查员演示的证据显示,360浏览器直接屏蔽认证机构VeriSign基于加密体系的可信认证,将其替换成了360绿色网站认证。

独立调查员提醒网购者,应信任银行网站自身的安全证书,并在整个交易过程中关注地址栏域名和安全证书中的域名是否一致,以及其根域名是否与官方域名一致,切勿轻易信任和依赖360的“绿色网站认证”。

独立调查员认为,这又是另一起360“破坏性创新”的典型案例:“一点技术含量也没有的网站身份认证,竟然可以公然取代国际上通行的网上银行安全认证体系。这就是360的非创新型破坏。”

然而,对于类似公然挑衅国际准则的行为,为什么监管部门可以坐视不管呢?

可以预想的是,一旦360大规模启动“各大电商推荐安全购物使用360浏览器”活动,人们的网上购物均要依赖于 “360绿色网站认证”,360收获的将是又一次360式“癌性扩张”,而中国的网银体系又将会面临怎样的可怕变局?

移动圈地:“非创新型”破坏或止步于苹果?

在360的2012年年会上,360董事长周鸿祎对员工指出:“我认为未来两年将决定整个无线互联网的市场格局……在过去的一年,360手机卫士用户量突破2亿,360手机助手的用户量也突破了1亿,成为360在无线互联网上的两个支柱。但两根柱子支撑不了一个房子,我希望各个团队在2013年会有新的产品能够脱颖而出,包括很多PC的产品也可以寻找在无线上的发展机会。很简单,未来不会再有无线互联网公司了,因为每个公司都必须是基于无线互联网的;也不会有PC产品部、无线产品部的区分,因为以后所有产品都会在PC和移动终端上打通,而没有无线互联网策略和产品的公司将会被淘汰。”

这段讲话基本上代表了360近期在移动端发展与布局的方向。

在移动端,360是否会重复使用“癌性扩张”的方式来圈地呢?

《每日经济新闻》记者在调查中发现,无论是微博还是公开的论坛,皆有不少用户曝光了360的一些“作恶”行为,大多包括以下内容:在智能手机通过USB接入电脑充电或同步数据时,360弹出手机助手的提示,不经意中安装360的其他产品,甚至装上360的产品之后,其他非360的应用会莫名其妙地“被卸载”。

这也意味着,在移动端的圈地运动中,360依然在复制其PC领域的“癌式扩张”做法:除了做安全产品外,自身同时开发了全系列的手机软件,然后重新演绎一遍其在PC端的玩法。

据《每日经济新闻》记者掌握的一份来自某互联网工程师的爆料,包括360手机卫士、360手机通讯录、360手机浏览器等系列产品存在明文上传用户隐私数据。上述爆料人提供的证据指出,在机场、咖啡厅,手机用户使用WiFi上网时,只要登录360手机卫士及360手机通讯录,或者进行云备份或云恢复,用户名(手机号)、手机IMEI码和密码等高度敏感信息就会通过请求网址明文传输,有了这些身份鉴别信息,可以使用任何浏览器从360通讯录服务器tongxunlu.360.cn的非安全通道直接下载用户云备份的通讯录等隐私。

这也意味着第三方可以轻松窃取360用户登录各个网站的密码MD5信息和手机号,进而可以获取用户包括短信、彩信、通讯录、通讯记录等所有相关隐私数据,而且还可以篡改并进行钓鱼。

对此,独立调查员进行了相应复检,发现含高度敏感信息的请求网址的参数部分,仅以BASE64编码(可简单解码,与明文无异),而用户密码虽然经过MD5加密、但是可直接用于登录,且对客户端合法性没有任何校验。独立调查员向《每日经济新闻》记者说,请求网址极易被非法拦截,在网址中明文夹带传输高度敏感信息,以及使用非安全通道下载用户隐私数据,等于把手机用户隐私暴露在阳光下。

这一现状,与当年360安全卫士起家时如出一辙。

据《每日经济新闻》记者所掌握的证据,国内有多家公司与个人,对360这方面的“不规距”行为进行了技术论证与法律取证。但这一切,似乎并不能动摇360在此领域的扩张。

不过目前,似乎有了一些改变。

1月25日,iOS平台上,360旗下360手机卫士、360浏览器等一些应用突然被苹果应用商店下架,一时在国内引起巨大反响。

360产品被苹果下架,这已不是第一次。2012年2月6日,360旗下包括360手机卫士、360口信、360浏览器HD、360电池医生、360安全备份、360团购HD等系列产品均被苹果应用商店下架。

随后,有专业分析师就曾公开表示,通过研究360相关应用的代码发现,至少360手机卫士和电池医生两款应用存在各种侵犯用户隐私的行为,主要包括:非法读取用户iPhone上的应用信息、非法阅览用户的照片和音乐文件夹,而iOS版360手机卫士部分代码还显示,360正在获取系统进程资源信息,而上述行为均为苹果应用商店严禁的违规行为。

而这一次下架的原因又是什么呢?

据360的官方说法,此次下架,与360手机卫士企业版测试时违反了苹果相应规则有关——360尝试为中国境内企业用户提供 “骚扰电话拦截”和“来电归属地显示”等功能。

外界对此也猜测不一:第一,猜测认为,360的多个应用涉嫌调用苹果私有API,以获取更高权限,而苹果明令禁止这一点;第二,涉嫌刷榜,影响在苹果应用商店的排名;第三,360多次使用企业证书对外发布公测版本;第四,多款应用涉嫌自建下载渠道,为用户提供越狱版本。而360的这一切动作,都是对现行互联网游戏规则的明显侵犯。

IDF互联网情报威慑防御实验室创始人万涛对此认为,最大的可能是,360在将其代替用户直接进行操作的“非创新型破坏”,从底层数据向上延展,最终到达应用层时遭到苹果的阻击,比如苹果严厉禁止调用私有API,但360手机卫士企业版测试却对外开放了私有API的下载链接。又如,苹果对用户隐私信息的保护非常严厉,而360在这方面触及规则,这非常容易触怒苹果;

《每日经济新闻》记者调查发现,去年iOS版360手机助手上线时,其产品分为手机客户端版和PC客户端版,其PC客户端版可以直接绕过苹果应用商店为用户提供下载链接,这也意味着360利用用户数量进行平台化,蚕食苹果市场收益。

业内专业人士管鹏(微博)则透露了另一个细节,前段时间传“快用”与360合作,将快用的技术接入360手机浏览器中。“快用”有一项核心技术“ipa2exe”,这一技术允许iOS开发者把自己的应用与快用的仿iTunes程序打包在一起,使用户可以像下载普通的PC软件一样下载iOS应用,并在PC上一键安装进自己的苹果设备——这已经和越狱市场没有区别了,“或许,这也是360下架的重要原因”。

商业篇之二·V3升级机制

360制胜“秘籍”:神秘的V3升级机制

每经记者 秦俑

据掌握360核心机密的一位360前员工披露,360正在谋划递归DNS的推出,而要大面积推广递归DNS,将走360特殊的通道:V3升级机制通道。

这位前员工解释说,DNS是域名系统 (DomainNameSystem)的缩写,是因特网的一项核心服务。简单地说,人们一般记不住IP地址,但人们能够记住域名,DNS就是将人们能够记住的域名转化成机器使用的IP地址的服务。

DNS又有授权DNS与递归DNS之分。授权DNS,是指域名所有者(或其指定的管理者)指定的域名解析服务器,该服务器存储该域名的原始IP设置,并提供查询服务。而递归DNS则复杂些:为客户机提供域名查询的DNS服务器——如果该服务器本身不能解析客户请求查询的域名,则根据一定规则转发查询请求给其他服务器,直到获得IP为止。360要做递归DNS,即是说:客户机不要请求运营商或企业的DNS服务器解析了,都交给360的DNS服务器解析好了。

接下来的问题在于,在递归过程中,360最终给的IP地址是否就是用户请求的呢?为什么360就不会劫持IP地址呢?去年,独立调查员就在微博上就此提出质疑。他的理由是:DNS劫持现象严重,从小运营商到大运营商都在公开或私下干这种事。独立调查员举例说,如用户提出百度搜索请求,但360递归DNS给的是so.360.com的IP地址,为什么不会呢?

《每日经济新闻》记者掌握的进一步情况是:360在技术上已完全做好了准备,至于推广方式,目前还不能披露,但其核心手段就是“瞒天过海,暗度陈仓”。而整体实施,正是通过360的V3升级机制。

《每日经济新闻》记者通过数月的调查,终于揭开了所谓的V3机制的神秘面纱。

任何一个公司的软件,在下载时,都必须基于用户的意愿。程序不能代替用户自动下载软件。即使是微软的Windows软件,其升级或上线时,也是在微软公司的提示下,用户同意后,方可升级或上线。

在这方面,用户具有知情权、同意权。任何剥夺或变相剥夺用户这两个权利的下载,都是违法的。对一些特别清晰而简单的下载或升级或优化,也可以通过“一键优化”或“一键修复”等来实施。

但360多年来并非依此执行。一方面,360通过“一键优化”或“一键修复”,绕过用户的一步步审核,要么将竞争对手的软件给优化掉,要么就是在下载中夹带“私货”,将其最想推广的软件悄悄直接代替用户下载了。

另一方面,360甚至不需要用户的“一键优化”等,在暗中直接给用户的电脑(或手机)下载其推广的软件。这也就是业内人最为痛恨的“静默安装”,“静默升级”等。

据《每日经济新闻》记者调查,一键优化,是通过360安全卫士,即通过客户端执行;“静默安装”,则是直接通过云服务器发布指令执行的。而“V3升级”即是360产品线最重要的捆绑安装渠道。

V3机制,最主要的推广“母体”是360安全卫士与360浏览器,而这两者间,又有分工与交叉,相互配合,其中的关系非常复杂。为遮人耳目,V3通道并不是常规的路径,而是在重要的“必须产品”推广中才会实施。通过这一路径,可以一下子将产品全面铺开,实现最大的安装量。而当360的主体产品拥有的用户基数越来越高的时候,这样的推广作用也变得更有成效。

转播到腾讯微博
360黑匣子之谜——奇虎360“癌”性基因大揭秘

从关系示意图可以看到,V3由360高层决策层下达指令,360安全数据中心启动,并通过后门机制,将指令性信息传达给用户电脑中安装的360安全卫士,主要指令为产品推广、删除竞争对手产品、新配置数据等;360安全卫士在用户Windows系统中,直接执行安装、更改、卸载;然后,通过后门机制,将信息反馈给360云安全数据中心,该中心再将信息收集、汇总统计后,上传给决策层。

在360,除产品、技术之外的员工,对V3机制知之甚少。即使是核心员工,也并非知道其中的全部路径。而要申请使用这一通道,更是需要非常复杂的申请手续,甚至据称,最终的拍板决定权,也仅在周鸿祎一人手中。即使在总裁齐向东已批准同意的情况下,最终仍需经过周鸿祎的批准。

业内一位著名互联网专家称,“多年来,360几乎就是战无不胜,其中,人们过多地放大了360产品的能力,以及360的流氓特性能力。V3才是360战无不胜的法宝。如果工信部要管,就把360的V3升级禁止了,360就立刻死定了。”

寻找已模糊了的良心

——两位神秘人物的对话节选(因可以理解的原因,以A、B为代号):

A:你知道你的电脑里有一根来自360的泄污管吗?V3通道!

B:不知道这事。

A:什么叫强奸?违背意志,强行插入,并且排射污物!这就是360的一贯行为。

B:“泄污管”有具体所指吗?

A:我就是指这个V3升级模块。说来话长,最早这个V3升级代码还是从外面买来的,分为服务器端,客户端两部分。

B:大概估得到,但没具体研究。

A:360一般程序员都没有V3代码的可读权限,出了问题不能用查代码的方式解决,只能HOOK自己的程序跟踪。NB吧,对自己人都防守得如此严密。

B:心想反正他们流氓推广不是一两桩。

A:这个代码只有卫士的人有。

B:还能这样?公司内部还玩黑匣子啊。

A:是啊,你就可想而知,这个代码对360有多重要了。而且,V3升级这个360内部的名词一旦被曝光出来,将极大地震撼360的内部员工。

B:内部就叫“V3升级”?

A:是的,内部就叫V3升级模块。比如,说这个版本通过V3下去。对付这个流氓公司,需要有无数无名英雄的付出,也需要有冲锋陷阵的先锋。

B:你、我,都是无名战士。说白了就是替天行道。

A:是啊,我觉得中国社会,怎么就没有侠客了呢。以前对付贪官恶霸,多少侠义之士出手啊。一个人的能力都是微小的,但能结成联盟,取长补短,那就会威力大增。

B:我们一做什么,就会有人说,是收了什么好处……

A:我们是收了好处,就是收到了自己的良心。这是天大的好处。没有良心的人,我看就是鬼。

B:Y。

商业篇之三·用户自卫

360产品频遭卸载令背后:个人隐私自卫意识在觉醒

每经记者 秦俑

《每日经济新闻》记者通过调查发现,360相关产品被苹果下架事件,绝非偶然,背后既有特殊的原因,也有必然的结果,更有不断成为常态的趋势。

有越来越多的人意识到,粗暴侵犯用户权益,粗暴破坏行业规则,损害企业基本权益,会给整个行业带来“生,还是死”的危害。而这两个粗暴的“癌性基因”之变的核心,就是违背了全球公认的互联网江湖的基本准则。

长此以往,“创新型破坏”这一癌变会益发严重,最终,中国互联网会因此死亡。这才是最可怕的。

来自官方的“SayNo”

其实,最早对360说“NO”的是人民法院,在360历时八年的发展过程中,与企业间有八场民事诉讼,法院给予的回答是:“八连败!”在法律上,360的行为被严厉拒绝。

最近以来,政府相关部门也对360接连亮起“黄牌”:国家版权局在去年12月28日首次表态,称360搜索要抓取百度内容需要获得百度授权,提供百度网页快照不适用“避风港原则”,要求360进行整改,将视360的整改情况再采取进一步的管理措施。

根据《每日经济新闻》记者了解,介入360安全问题管理的政府部门范围还将进一步扩大。据知情人士透露,国家版权局近期将在其行政处罚会议上责令360停止侵权,并进行整改。

1月24日,北京市工商局对外发布消息:北京市工商局、北京市工商局西城分局共同约见了北京奇虎科技有限公司(以下简称奇虎公司)负责人,对其利用“360安全卫士”在浏览器领域实施不正当竞争行为予以行政告诫。

1月30日,国家工商行政管理总局在其官方网站首次披露了对360给予行政告诫的具体原因:奇虎360利用垄断市场优势,通过不兼容、难卸载等方式阻止网民安装其他软件;还用推荐诱导、默认同步安装甚至伪装成微软官方补丁等方式,将其旗下的360浏览器、360网址导航等产品强行安装至网民电脑中,通过默认设置、强制升级等方式修改用户浏览器和主页设置。

拒绝“360浏览器”:一场“斯大林格勒保卫战”/

2月17日晚间,百度通过官方特服对所有的凤巢客户发了一条短信:“为保障客户的账号与资金安全,基于试运行的良好效果,百度安全控件将于18日起正式推广使用。”这意味着,百度“凤巢”系统自18日开始,将在百度客户体系中,直接、全面封杀360浏览器。

此事还需回溯至今年1月28日,当时百度凤巢开始试运行封杀360浏览器,遭到360强烈反击,但百度认为,“‘凤巢’系统安全升级后提示用户弃用360浏览器,是因为之前多次接到过客户反映,使用360浏览器时会出现数据及信息丢失的情况”,即表示360浏览器不安全。

业内专家认为,浏览器是网站的运行环境,基于兼容性、用户体验或安全性等因素,网站并无义务保证或允许用户使用所有浏览器,用户需遵守网站的有关使用规定(包括但不限于浏览器种类、操作系统平台、显示器分辨率等限制),“正如某些网上银行系统不支持FireFox一样,FireFox产品提供者无权指责银行。”

在百度宣布打击正式实施的前一天,有“黑客教父”之称的安全技术专家万涛评论说:“从企业权益上来说,百度对于一个相对的内部业务系统限定浏览器并没有特别大的问题,正如银行网银大多只支持IE浏览器一样。这是度娘的‘斯大林格勒’保卫战!也说明双方的博弈从普通网友延伸到了百万站长社群。”

据来自百度内部的绝密消息:“这仅是一个开始,百度将会有更严厉的手段。”而另一位百度高层更是向《每日经济新闻》记者透露,百度未来的主要战略为一静一动,动静结合,以静制动。具体的策略则不便对外透露。

“从整体上说,360会陷入一场持久而消耗性的战争。”互联网知名评论家管鹏认为,“这场战争最重要的意义在于,从360诞生以来的所有战争,都是360主动性进攻,且结果都是以被进攻者被动或失败而告终。而凤巢的反击,则是被攻击者的有序、主动性的反击。其意义特别深远。”

作为自主行为,企业直接拒绝360的声音,已越来越多。网易是其中一家引起较大反响的公司,该公司去年内部要求禁用360产品;同样在去年的12月6日,中国最大钢铁巨头宝钢警告:12万员工必须卸载360。此前亦有媒体报道称,招商银行总行大厦系统管理员在2010年12月9日就通过内部邮件的形式要求各部门卸载360安全卫士以及系列软件。

另一件值得关注的,是被披露的360浏览器偷赚网购佣金事件。

据媒体披露,其主要方式是用户在360浏览器中购买商品时,即便不是从淘宝客的链接点击进入,也可能产生佣金并流入一些ID的口袋中,这些ID号均指向了“上海奇泰”淘宝客。

360上市时的招股说明书显示,“上海奇泰网络科技有限公司”与奇虎360公司存在关联关系,奇泰还与360的100%控股公司奇智软件 (北京)有限公司存在着合约协议关系。

事实上,劫持淘宝客佣金一事,并不是外界首次对360非法获取收入提出质疑,金山网络CEO傅盛(微博)就曾在微博爆料,直指360财报中10亿收入来自电商,其实是用户通过360浏览器购买100元商品抽成10元。

堂吉诃德:那些走在最前端的程序“猿”们/

对许多黑客的采访,不能亮出他们的身份,而网络上公开的“独立调查员”,其实只见其人,不知其真名。他不想公开自己的身份影响平静生活,只想做一些正确的事情。

《每日经济新闻》记者约其采访,几乎周旋了一个月;为确定采访地点,周旋了两天。第一次采访,访谈了6个小时。而后来的工作中,最辛苦的是连续4天4夜,独立调查员加起来只睡了大约12个小时。

从整个调查来看,“独立调查员”是典型的程序员思维,比较“轴”,一根筋。但思维极其敏捷。

为什么要花这么长时间研究360?为什么对360有如此深厚的“隔阂”。《每日经济新闻》记者的提问,抛给了许多堂吉诃德式的程序“猿”们。

他们的回答,却是惊人地一致:360的“两个粗暴”,是中国互联网的“毒瘤”,不除“毒瘤”,中国互联网必死。而这个“除”,并非就是消灭360,而是希望360能够“立地成佛”。

虽然,他们知道,他们的努力,就是堂吉诃德式的,但必须有人去做。

1月13日,独立调查员发出微博,“360浏览器识别方法与程序设计”。

由于害怕对手封杀,360的浏览器产品都删除了身份标识(UserAgent),一直冒充其内核对应的浏览器(InternetExplorer或 Chrome)。同时,360浏览器却向特定网站提供准确的身份标识信息,包括CNZZ(浏览器使用统计)、HTML5Test(HTML5兼容性评分)等网站,其他网站使用常规方法都无法准确识别。

发现这一秘密后,他经过研究,找到了破解的方法,做了一个JS网页脚本程序,并将代码在网上公开分享。据不完全统计,到2月22日,已有近1000个网站在使用这个程序。“其中,有相当一部分是淘宝客网站”。

值得关注的,还有万涛,其创立的IDF实验室,在多个地方就以安全的反复实验数据,论证了独立调查员的多项调查结果;人大计算机系主任石文昌公开以专家的身份证明独立调查员的一些重要的调查结果;北大电子政务研究院副院长杨明刚(网名“杨明刚PKU”)也公开支持独立调查员。更有一大批网民直接出面声援独立调查员。

另一位程序“猿”为瞬雨,其写过许多解剖360的文字,成为这一领域的前行者。

最终结果会怎样?独立调查员淡然一笑:念念不忘,必有回响。

本文出自 小古Blog,转载时请注明出处及相应链接。

本文永久链接: http://blog.chdz1.com/?post=182

|

4条评论

  1. 讨两个红花 2013-06-05 22:38

    亲,想下载你的插件,讨两个红花,xiaee 谢谢了哈。回复

  1. godaddy 优惠码 2013-03-23 14:48

    360的产品还没恢复?回复

  1. 李重坡其 2013-03-04 14:20

    O(∩_∩)O哈哈~
    没想到是这样子的呀。回复

  1. godaddy优惠码 2013-03-02 11:26

    有这么严重?回复

发表评论:

电子邮件地址不会被公开。 必填项已用*标注

Ɣ回顶部
sitemap