“360安全瀏覽器在干嘛呢?誰也不知道。為什么要這樣忙碌呢?作為瀏覽器�����,其作用就是可以顯示網(wǎng)頁服務器或者文件系統(tǒng)的HTML文件內容��,并讓用戶與這些文件交互的一種軟件��。根據(jù)最小特權原則�,你是沒有理由在我的電腦里不停地‘工作’。你要問他在做什么��,他就說���,是為了你的安全���。”
“明明知道360在做不應該發(fā)生的事情�����,但不知道發(fā)生的是什么事情�。這就是360留給中國所有安全專業(yè)人員最大的課題��。”獨立調查員解釋說��,這是因為360在這方面做了非??b密的設計,其防御體系相當嚴密��,要突破防線有所收獲�,是件非常困難的事情。
而這�,也正是許多從事安全的專家們感興趣的事情。
2010年2月6日��,360多年的宿敵——瑞星拿出了一份 “證據(jù)”�,其發(fā)布的《奇虎360利用“后門”拿走了用戶什么》一文,利用大量技術細節(jié)說明360安全衛(wèi)士在安裝進用戶電腦時�����,會偷偷開設后門,并時刻監(jiān)視用戶訪問網(wǎng)站��,將相關信息上傳至360網(wǎng)站����。
此事標志著360第一次露出“不安全”的真面目����,從此一發(fā)而不可收拾。
據(jù)《每日經(jīng)濟新聞》記者調查�����,國內有一大批黑客對破獲360的防線�����,以及搞明白360這個黑匣子內到底有什么非常感興趣����,想通過攻擊360而獲得其 侵犯用戶隱私信息的證據(jù)。他們之間甚至有一個松散型的組織��,經(jīng)常交換這方面的信息�����。但與此同時,也有些黑客最終被360“招安”�����,成為其公司成員����。
2010年12月31日,在黑客狂轟濫炸360服務器后��,360防線被攻破�����,存儲于其服務器上的大量用戶隱私數(shù)據(jù)噴涌而出����,被谷歌搜索爬蟲自動抓取,并公告天下���。360多年來宣稱的 “用戶隱私大于天”的謊言正式被揭穿��。
上圖為某網(wǎng)民通過360safe.com泄露的數(shù)據(jù)登錄某政府機關的內部郵箱
這份意外泄露的文件詳細記錄了大量360用戶的全網(wǎng)訪問過程���,包括瀏覽的網(wǎng)頁�、下載過的應用�����、搜索的關鍵字等�,并將這些訪問記錄與唯一用戶掛鉤���。在 這個服務器中�����,每個用戶對應一個字符串�����,通過查詢字符串���,可以了解用戶的所有個人信息、上網(wǎng)瀏覽記錄����、賬號密碼�,例如用戶在百度搜索關鍵字�����、淘寶購物記 錄�����、金蝶�、奇瑞等企業(yè)內部財務網(wǎng)絡數(shù)據(jù)、某政府機構官方郵箱用戶名及密碼等鏈接數(shù)據(jù)���。
《每日經(jīng)濟新聞》獲得的一份對泄露日志文件分析統(tǒng)計的結果顯示�����,此次泄密事件涉及總條數(shù)141萬條���,其中涉及用戶名信息的條目有247326 個,既包含用戶名又包含密碼條目有816個�。而這對于360收集的海量數(shù)據(jù)來說只是冰山一角,截至目前為止�,360從沒有公開解釋被泄露的數(shù)據(jù)總量有多少,被下載了多少次。
然而�����,有關360如何“利用”用戶的信任���,如《全民公敵》影片中的衛(wèi)星一樣“間諜”式地監(jiān)控著用戶的電腦���,這個謎團卻依然沒有辦法破解,至今沒有一家安全廠商拿出這個過程的有力證據(jù)��。
獨立調查員告訴記者�,360安全衛(wèi)士��、360安全瀏覽器���,其內部運作流程就像一個暗箱���,外部人可以聽到里面有動作,但卻沒有辦法知道里面發(fā)生了什么����,以及它如何阻止外部人破解它。
而獨立調查員卻偏執(zhí)地選擇了這條破解之路。他先制作了一張簡單的圖表�����,以揭示360拳頭產(chǎn)品360安全衛(wèi)士內部的操作模型(如圖)��。
從這個圖中可以看出���,360安全衛(wèi)士對用戶在電腦上進行軟件操作�、文檔操作等所有操作舉動均秘密進行監(jiān)視��、記錄��,然后進行壓縮后上傳至云端服務器;過去�����,上傳的過程為明文上傳�����,這對用戶的隱私帶來非常嚴重的威脅�����,在經(jīng)歷過幾次大的泄密事件后,目前上傳文件已經(jīng)加密�����。
文件上傳到360云端存儲后�,文件會立即在本地被刪除,這招防御術非常兇狠��,即使有人破解其行為���,并獲得文件證據(jù)����,但因為隨時的刪除�,很難將證據(jù)做實,變成死無對證的孤證��。
用戶電腦中的360安全衛(wèi)士這一套運行機制都是事先預設好的����,可以獨立操作完成;但實際上�,360云端(360安全數(shù)據(jù)中心)對用戶客戶端的 360安全衛(wèi)士具備直接控制能力。360云端不僅可以下達專門的指令(后文還將詳述)�����,同時一旦360安全衛(wèi)士發(fā)現(xiàn)有人在監(jiān)視其通信操作等,會發(fā)出安全警告以阻止繼續(xù)操作并限時自行禁止����。這也給破獲工作帶來相當程度的干擾。
據(jù)一名多年研究360產(chǎn)品的黑客告訴《每日經(jīng)濟新聞》記者���,“設置如此高難度障礙的人一定是行業(yè)的高手��?��?梢詳喽ǎ?60內部一定有國內頂尖級的黑 客高手����。他們才有可能做到既做暗事,又不留任何把柄���。這就像是一個江洋大盜���,來無影,去無蹤���,飄忽不定����,作案后現(xiàn)場不留任何痕跡,實在是高精尖的設計��。”
這名黑客發(fā)現(xiàn)��,360安全衛(wèi)士的暗箱操作行蹤越來越?jīng)]有規(guī)律可循����,換句話說,其運作規(guī)律經(jīng)過精心策劃��,非常不容易被外界掌握����。同時,其獲取信息的區(qū) 域半徑越來越由中心城市向二�����、三�、四線城市延伸���。這樣的話��,要想抓到證據(jù)就更為艱難����。“中國擁有30多個省級行政區(qū),336個二級行政區(qū)��,還不包括數(shù)以千 計的三級����、四級行政區(qū),這就相當于360安全衛(wèi)士在中國網(wǎng)民的生活中布下了天羅地網(wǎng)�。”
據(jù)《每日經(jīng)濟新聞》記者調查發(fā)現(xiàn),國內不止一家公司準備投入大量人力來破獲360的違法行為���,但最終都偃旗息鼓�。原因就在于�,360收集用戶信息的行為 “就像空中劃過的彗星,茫茫夜空����,布下天羅地網(wǎng),時刻守候����,才有可能有所斬獲��,這樣的投入產(chǎn)出比太低了”���。
黑匣子現(xiàn)身:對用戶個人信息涉嫌暗箱操作/
“破解360安全衛(wèi)士的非法操作,是一件很好玩的貓捉老鼠的事情��。”上述黑客向《每日經(jīng)濟新聞》記者感嘆說�,360安全衛(wèi)士的技術架構非常復雜,組 件有很多程序����,軟件包有幾十個可執(zhí)行的程序,還有擴展庫�。如果要查清楚是否侵犯用戶隱私,則需要對每個程序進行分析��,就像分析病毒一樣地分析每個文件����,而 這需要投入大量的時間和精力。
這名黑客給記者展示了許多“同行”間來往的郵件�,此中展現(xiàn)出破解之后的喜悅,以及經(jīng)驗的交流。
而獨立調查員宣稱����,他“已基本破解了360安全衛(wèi)士的謎局����,但離發(fā)布還為時尚早”,因為他要做“鐵板釘釘?shù)氖虑?rdquo;��。
在《每日經(jīng)濟新聞》記者保證不會將其操作思路披露的情況下���,獨立調查員將其操作的核心步驟進行了詳盡的現(xiàn)場演示�����。在征得其允諾的情況下�,記者可以告知的是:針對360的設置��,進行反向操作�,反向分析而破解。
到目前為止����,已經(jīng)披露的最重要證據(jù)為獨立調查員于2012年12月6日在其微博上發(fā)布的一個視頻(http:/weibo.com/2902756801/z8BUvfWqe)。這份視頻詳盡地破解了360安全衛(wèi)士秘密獲取用戶信息的過程。
獨立調查員告訴記者���,這份13分36秒的視頻以完整的手法記錄了破獲360竊取用戶隱私的證據(jù)�����。它證明了360在用戶電腦中收集����、上傳用戶信息的“動作”����,“猖狂到任何簡單的、常規(guī)的軟件操作行為都將被記錄�����,與安全問題完全無關����,而這些信息都在用戶個人隱私范疇”。
但據(jù)獨立調查員宣稱�����,這份視頻資料并非其采集、制作���,“而是來自一名自稱是安全領域專家的匿名人士”���,他通過微博私信向獨立調查員爆料:自己已經(jīng)掌握了360安全衛(wèi)士7.3竊取用戶隱私并上傳到360服務器的司法證據(jù)��,現(xiàn)在可以無償將這段司法證據(jù)給他�����。
而關于這份證據(jù)���,獨立調查員認為�,將是未來給360的“一顆小小的炸彈”�����,在法庭上是有力的呈堂證供�����。
據(jù)記者了解��,去年11月28日,在易觀國際主辦的“易士堂”網(wǎng)絡安全論壇(第二季)論壇上�����,這份視頻資料也曾分享給包括國家信息中心�、中國信息安全 測評中心等安全業(yè)界人士;而最初制作這段視頻并進行司法公證的正是金山安全專家李鐵軍。不過李鐵軍否認自己就是給獨立調查員爆料的匿名人士�����。
據(jù)李鐵軍透露���,2010年11月����,卡飯安全論壇有人爆料稱“360安全衛(wèi)士7.3的某個版本會竊取用戶隱私上傳到360服務器”���,爆料的內容非常簡 單����,只提供了一個有趣的細節(jié)暗示:需要用戶在360loginfo目錄對刪除權限做一個修改才有可能捕捉到360的罪證�,帖子不久就消失了。
李鐵軍首先嘗試重現(xiàn)帖子描述的問題�����,而不是對軟件進行逆向分析,經(jīng)過數(shù)月才完成了這一個證據(jù)的抓取��。
“反反復復不知道試了多少回�����。”李鐵軍對《每日經(jīng)濟新聞》記者表示��,憑借多年的經(jīng)驗�,他終于找到了關鍵所在��,比如有竊取隱私問題的360安全衛(wèi)士版 本號為7.3.0.2003l�,數(shù)字簽名時間為2010年11月8日,要想重現(xiàn)必須將360loginfo訪問權限修改為“所有人不可刪除”;再比如安裝 時修改系統(tǒng)時間與2010年11月8日不能相差太久����,安裝前須斷開網(wǎng)絡(禁用網(wǎng)卡或拔網(wǎng)線)。
即使這樣���,也有一些情況在李鐵軍“意料之外”��。
“開始想到的是禁用網(wǎng)卡和改360loginfo目錄的訪問權限���,但奇怪的是�,有時能在安裝后幾分鐘內即可在360loginfo目錄看到日志生 成�����,有時等幾小時都不能重現(xiàn)���,于是嘗試將系統(tǒng)日期從單數(shù)修改為雙數(shù)或從雙數(shù)修改為單數(shù)��,結果很快看到奇怪的日志文件出現(xiàn)了��。”李鐵軍表示���,這幾條重現(xiàn)規(guī)則 是反復多次嘗試之后才總結出來的。
而上述結果也在曝光之后第一時間得到IDF互聯(lián)網(wǎng)情報威懾防御實驗室的驗證�����。2012年11月25日�����,該實驗室發(fā)布報告表示�,360安全衛(wèi)士 v7.3.0.2003l所搜集用戶軟件操作信息��,對用戶隱私造成風險���,若用戶運行 某 一 程 序 ,360安 全 衛(wèi) 士v7.3.0.2003l會把程序所在路徑搜集并未經(jīng)加密上傳至360服務器�。若360公司所存放信息的數(shù)據(jù)庫泄露或傳輸數(shù)據(jù)被黑客截取進行社工分析,可造成用戶的信息泄露�。
萬濤對《每日經(jīng)濟新聞》表示,根據(jù)之前的評測報告��,360安全衛(wèi)士v7.3.0.2003l對用戶信息的處理涉嫌未遵守其中的用戶知情權���、選擇權及禁止權,并在未獲得個人信息主體的明確同意下記錄和上傳用戶行為數(shù)據(jù)�。
值得注意的是,已于2月1日正式生效的我國首個個人信息保護國家標準 《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》明確規(guī)定�����,個人信息獲得者在收集個人信息時�����,需“具有特定�����、明確、合法的目的”��?���;诖耍谑占?前要采用個人信息主體易知悉的方式��,向個人信息主體明確告知和警示如下事項:處理個人信息的目的;個人信息的收集方式和手段�、收集的具體內容和留存時限; 個人信息的使用范圍、被收集后的個人信息保護措施����、個人信息主體的投訴渠道;同時提醒個人信息主體提供個人信息后可能存在的風險和個人信息主體不提供個人 信息可能出現(xiàn)的后果。且“只收集能夠達到已告知目的的最少信息”�����。而信息獲得者如需將個人信息轉移或委托于其他組織和機構時�����,也需要向個人信息主體明確告 知轉移或委托的目的�����、轉移或委托個人信息的具體內容和使用范圍、接受委托的個人信息獲得者的名稱�、地址、聯(lián)系方式等����。
很明顯,360公司在個人信息的收集�����、加工���、轉移����、刪除等環(huán)節(jié)�����,明顯將行業(yè)的游戲規(guī)則拋諸腦后�����,一意孤行地進行著暗箱操作����。
技術篇之二·后門
360后門秘道:“上帝之手”,抑或“惡魔之手”?
每經(jīng)記者 秦俑
“作為宣稱‘最安全的瀏覽器’的360安全瀏覽器���,被發(fā)現(xiàn)存在極大潛在安全威脅的‘后門’����。毫無疑問��,‘獨立調查員’是第一人�。即使給他頒發(fā)一個國 家級的科技發(fā)現(xiàn)獎也不為過。而且�����,多少年后��,人們一定會感謝這位幕后的英雄�,為了廣大用戶的上網(wǎng)安全,做出了卓越的貢獻�����。”百度安全部門的相關負責人如此 評價360安全瀏覽器“后門”發(fā)現(xiàn)者。
按照獨立調查員的理解��,所謂360的后門��,不僅存在于360安全瀏覽器����,也存在于360安全衛(wèi)士。他說����,“你這樣來看,在你的小區(qū)�,保安說,因為安 全的需要�����,你們要將房門的鑰匙放一把在我身上����,我可以隨時來檢查你家庭的安全�����。這本身已經(jīng)非常大的不安全了,但你更不知道的是����,這個保安公司,還在地下挖 有一條通道�,可以直接從地下通過地道悄悄進入你的房間。而這個地道����,就是后門。”
360后門秘道浮出水面/
2012年10月��,當時“方周大戰(zhàn)”正酣���,獨立調查員才注意到了360安全產(chǎn)品���,因為他一直是裸機,從未想過要關注360����。但這一關注,他敏銳地發(fā)現(xiàn)�����,360“非常異類”——許多行為不僅是反安全的,甚至是“反人類的”��。
獨立調查員特意在用于測試的虛擬機中安裝了全套360產(chǎn)品�,并由此發(fā)現(xiàn)360產(chǎn)品的許多 “不規(guī)矩行為”,他隨手將這些發(fā)現(xiàn)發(fā)布在微博上�����,立即引起許多關注���,但也遭到一些人的攻擊��。“有些人明顯就是360的人在挑釁�����,這激怒了我�����,我這人不喜歡耍嘴皮子���,我是軟件專業(yè)人員�����,我只講證據(jù)”,獨立調查員如此說�����。
獨立調查員發(fā)現(xiàn)����,360瀏覽器網(wǎng)絡通信有非常異常的情況,“最開始只是發(fā)現(xiàn)其時間周期性:每隔5分鐘�����,瀏覽器就主動發(fā)起一次與服務器之間的通信過程�����,雖然不知道在干嘛�,但其短周期性非常可疑����。”
為什么不打開任何網(wǎng)頁�����、不動鍵盤和鼠標����,360瀏覽器依然忙個不停呢?“國內外所有的知名瀏覽器都不會存在這樣的行為模式���?�?梢钥隙?����,此中必有蹊蹺”����。
于是�����,他繼續(xù)追查����,雖然下載的文件名是文本文件(ini)�����,但當他把數(shù)據(jù)包拼接成文件后一看 (當時尚不知道服務器IP地址對應域名���,受服務器限制未能通過網(wǎng)址直接下載文件���,也尚未注意到文件被暫存于臨時文件夾)�����,實際是個DLL(可動態(tài)加載的程 序模塊)����。“以我的知識和經(jīng)驗���,很快意識到問題的嚴重性——以更新配置文件為耳目���、周期性下載并加載執(zhí)行小程序——這是一個后門。至于360利用它做什 么���、曾做過什么并非重點�,重點是他們可以做任何事而不為人知、不留痕跡�。”
于是,他于去年10月29日通過微博對外公布了360瀏覽器有后門的事實���,同時公開向工信部���、公安部發(fā)出了一封名為《公開舉報奇虎360公司——致工信部、公安部公開信》的舉報信����。
《每日經(jīng)濟新聞》記者注意到,在這封舉報信中���,獨立調查員直接斥責道:“奇虎360公司的 ‘360安全瀏覽器’暗藏‘后門’�����,是用戶系統(tǒng)安全和信息安全的嚴重潛在威脅”�。
他舉證說��,360安全瀏覽器實為C/S架構木馬系統(tǒng)的客戶端�����,服務器群是se.#(云架構,IP地址不定)�。瀏覽器每隔5分鐘即向服務器 請求新的“指示”。新的指示偽裝成Ini(純文本文件類型)發(fā)出�,實際上是DII文件(Windows可執(zhí)行程序庫或資料庫)等。
此事一石激起千層浪��。不過�����,具有挑戰(zhàn)的是�����,獨立調查員的分析結果僅僅是網(wǎng)絡分析�,是“后門”機制的初步證據(jù)和技術推斷���,而非直接的鐵證�。正是因為這樣����,360開始在網(wǎng)絡上對其進行質疑、攻擊��,甚至嘲諷。
“他們以為我只會網(wǎng)絡抓包呢!”獨立調查員表示�。于是,為了做實360的后門機制���,他決定反向分析瀏覽器本身的程序庫�,并詳細分析出“后門”機制的內部執(zhí)行流程��。
然而����,這并非一件容易的事情。“因為沒有軟件源程序���、更沒有設計文檔����,所以分析難度相當大����。給你個軟件,只能進行其公開可見的操作�����,而內部運作卻完全是個黑洞。”獨立調查員表示��。
源程序(源代碼)自然沒有�����。而要通過反向工程來破解�����,難度相對較高���,也非常浪費時間�。何況360瀏覽器軟件規(guī)模不小�,而且還有很多內置的擴展程序�����。
“我首先用排除法把擴展組件挨個干掉��,我刪掉一個擴展組件��,如果后門機制還在,說明與這個擴展組件無關�����。”獨立調查員最開始的直覺是后門應該在擴展 程序里面���,因為主程序要送檢����,但是當獨立調查員把可見的擴展程序全部刪掉后����,后門還在,于是他開始刪(對普通用戶)不可見的擴展組件��。
“通過排除法����,最后確認是擴展組件SmartWiz在搞鬼。刪掉它以后�,瀏覽器就安靜了,那個5分鐘一輪的上傳下達活動消失了�����。”
不過,還沒有結束����。為了進一步查明360后門真相,獨立調查員還需要反向編譯出匯編代碼并跟蹤測試���。
通過一系列技術過程�����,獨立調查員掌握了360瀏覽器在SmartWiz整個組件里與360服務器間建立通信���、下載、臨時存儲����、加載執(zhí)行、刪除(銷毀證據(jù))的流程�����,同時也知道了其時鐘控制調度機制(5分鐘間隔定時器)��。
360后門的安全之殤/
360安全瀏覽器設計出來的后門�����,恰恰給用戶帶來了極大的不安全����。
為了讓用戶知道這個后門的惡劣程度,一直涉足互聯(lián)網(wǎng)安全工作的騰訊集團副總裁曾宇�,對沒有后門的瀏覽器的重要性做了解答(如左圖)。
一般個人用戶的電腦中����,90%以上為windows系統(tǒng),這套系統(tǒng)與互聯(lián)網(wǎng)之間的聯(lián)系�,是需要瀏覽器來實現(xiàn)的,同時��,因為瀏覽器的閉環(huán)作用
(可以理解為沒有縫的雞蛋殼���,除非用戶特別授權)��,其也是windows系統(tǒng)與互聯(lián)網(wǎng)之間的天然屏障����,任何來自于其他云端的指令等�,都不會穿透這層保護而到達windows系統(tǒng)����。這樣����,用戶電腦中的windows系統(tǒng)得到最好的保護,所有執(zhí)行的指令��,都是來自于用戶自己�����。
而IDF互聯(lián)網(wǎng)情報威懾防御實驗室創(chuàng)始人萬濤則對瀏覽器后門做了解讀����。他說,被稱作360“安全”的瀏覽器�,卻有一個特殊的資源文件,這個資源文件硬生生地將這個蛋殼打開了一條縫�,而且是一條用戶看不到的縫。
通過這個后門��,360瀏覽器可以根據(jù)監(jiān)視用戶電腦操作過程中出現(xiàn)的情況���,向360云安全中心發(fā)出請求����,360云端的后門服務體系根據(jù)請求���,給出相應的DLL�����,即windows可執(zhí)行程序庫����。這個DLL通過360瀏覽器的后門����,直接進入用戶的windows系統(tǒng)。
此時�,這個DLL好生了得,它甚至已不受瀏覽器的控制��,它在用戶windows系統(tǒng)中可做的事情包括但不限于:
獲取用戶的文件���,并上傳到云端;
讀寫���、增刪用戶的文件;
監(jiān)聽用戶通訊;
更改windows系統(tǒng)的注冊表或重要的設置參數(shù);
悄悄卸載競爭對手的產(chǎn)品�,等等���。
同時����,這個DLL還可以通過這個后門��,直接對互聯(lián)網(wǎng)發(fā)出指令����,包括但不限于:
自動從360服務器下載軟件來安裝或運行;
代替用戶直接進行電子商務操作;
釋放木馬或病毒、創(chuàng)建常駐系統(tǒng)的服務��,等等��。
360是否做了這些呢?如果做了���,對其自身又會有怎樣的價值呢?會對行業(yè)�、用戶帶來怎樣的傷害呢?沒有人知道答案��。
“搞清楚這些細節(jié)后��,我就著手重現(xiàn)后門機制的運作,讓本來不可見的過程變得可見�����,以做可視化演示�����,讓大家不僅能感知而且能 ‘看到’360暗設的這道‘后門’�����。”獨立調查員表示��。
在他看來����,360那個后門每5分鐘都會找360服務器下載一個DLL并加載執(zhí)行�,但它是個后門,隱蔽性第一�����,因此DLL無論如何不會現(xiàn)身���,不存在彈出對話窗口或消息框�,因此需要給它模擬一個測試環(huán)境。
“通過在本地架設DNS服務�����,劫持#的域名解析���,把我的機器偽裝成360的服務器�,然后那個注入瀏覽器的DLL不就由我自由控制了么?” 獨立調查員表示���,通過編一個只要被加載執(zhí)行就馬上彈出消息框的DLL���,拿自己寫的DLL注入給360瀏覽器,這就讓360瀏覽器的后門機制的運行完全可見 了���。
就這樣��,瀏覽器果然如預期的那樣�����,把獨立調查員在DLL里面寫的消息框給彈出來了�。
“被活捉啊!”從去年10月29日的公開信到11月5日的反向工程分析研究,前后僅為六天(僅利用業(yè)余時間)�����。
一個細微的細節(jié)是�����,獨立調查員為了讓更多的用戶知道360暗藏后門的事實����,還將其調查結果通過65分鐘不間斷的視頻進行全網(wǎng)絡直播�。由于要保證視頻 內容真正做到65分鐘不間斷、不剪接�,而實際上他花費了4個多小時一次次現(xiàn)實演示,直至實現(xiàn)一次性完成�����,才算真正完成這一取證工作��。
獨立調查員指出���,可執(zhí)行文件DLL絕非軟件的自動更新(軟件更新是持久性的)�����,360安全瀏覽器自動更新僅在啟動時執(zhí)行一次��,與此行為無關;而它也不是瀏覽器的一部分�,下載、暫存����、加載調用后將立即被刪除,完成使命后�,不留任何痕跡。
360后門:綁架用戶的遙控器/
獨立調查員的這一發(fā)現(xiàn)發(fā)布后����,立即在業(yè)內引起巨大震動。
以電子取證為主業(yè)的獨立第三方IDF互聯(lián)網(wǎng)情報威懾防御實驗室立即跟進���,對獨立調查員的舉報結論進行重復性認證��,結論為:360安全瀏覽器v5.0.8.7的ExtSmartWiz.dll文件的屬性�����、行為及反編譯內容與獨立調查員描述完全一致��。
萬濤表示����,在當時的檢測中,即使在關閉360安全中心可以關閉的功能����,包括網(wǎng)址云安全、廣告云攔截���、第二代防假死�����、沙箱保護,在未進行任何瀏覽器操 作情況下�����,仍然可以抓取到ExtSmartWiz.dll請求服務器文件及下載服務器文件記錄��,而這些并未包含在《360用戶隱私保護白皮書》有關 “360安全瀏覽器的隱私保護說明”中��。
業(yè)內一位安全專家認為�,360瀏覽器利用后門通過秘密手段��,每5分鐘操作一次程序性動作���,究竟做了什么?現(xiàn)在不易獲知,相信終有一天��,360內部的 程序員等知情人士會將此完整地披露給大眾�。但可以認定��,360這一行為有不可告人的目的����,最為正面的理解是:如果全國要抓貪腐��,可能不再需要小三�、二奶們 自告奮勇地獻身了��,只要打開360瀏覽器����,貪腐只要是上網(wǎng)的�,基本上其丑行就可以通過360安全瀏覽器����、360安全衛(wèi)士這個后門機制暴露無遺了�����。
針對獨立調查員的證據(jù)�����,360方面至今也無正面回應����。
據(jù)獨立調查員的最新消息�����,360安全瀏覽器5.0版的“后門”機制仍在運作,但360服務器已不再通過“后門”下發(fā)任何DLL�,僅下發(fā)空文件(文件大小為0的文件)����。
對360安全瀏覽器最新版(6.0.2.202)的網(wǎng)絡通信監(jiān)測表明�,在未打開和瀏覽任何網(wǎng)站的情況下����,瀏覽器仍然在與360云服務器密集通信��,但與5.0版的情況明顯不同��。這里是否藏了什么新的秘密?
獨立調查員對此已作了嘗試調研,他告訴 《每日經(jīng)濟新聞》記者���,“有關結果��,在合適的時候會披露出來。”
“此中有一個不易注意的細節(jié)�,”獨立調查員告訴記者����,“當時,360安全瀏覽器產(chǎn)品經(jīng)理陶偉華在回應我的微博時�,就把我指出的 ExtSmartWiz.dll文件名篡改成SmartWizRes.dll����,而現(xiàn)在其6.0版本恰恰就是現(xiàn)在的‘SmartWizRes.dll’,可見其早已有想通過偷梁換柱的方式掩蓋其惡行���。”
據(jù)多位安全專家表示���,“后門”并非360獨創(chuàng),原來�����,其作用為“方便之門”。最著名的“后門”軟件為灰鴿子(Hack.Huigezi)。其誕生于 2001年��,原本是一款優(yōu)秀的遠程控制軟件,其后門機制作用為方便實施遠程控制��。但正是這“后門”機制,又使其成為集多種控制方法于一體的木馬病毒�。一旦 用戶電腦不幸感染��,可以說用戶的一舉一動都在黑客的監(jiān)控之下��,要竊取賬號����、密碼、照片��、重要文件等皆手到擒來��。因此�����,自其誕生之日起,就被反病毒專業(yè)人士 判定為最具危險性的后門程序����,并引發(fā)了安全領域的高度關注���,同時成為全球公認的“毒王”�。
360安全瀏覽器比“灰鴿子”更為危險的是����,它的市場占有量很高。根據(jù)艾瑞咨詢此前發(fā)布的數(shù)據(jù)顯示����,360最主要的產(chǎn)品360安全衛(wèi)士的市場份額已 經(jīng)高達84.41%��,同時360也擁有國內最大的瀏覽器和網(wǎng)址導航份額�����,所占市場份額大致為30%�。這也意味著數(shù)億量級360瀏覽器安裝于用戶的電腦中���, 如果有人破解360安全瀏覽器��,從而控制這個后門的話�����,那將是災難性事件����,它導致一個國家的癱瘓都是完全可能的。因為360安全衛(wèi)士�����、360安全瀏覽器早 已進入了中國大多數(shù)用戶的電腦。
萬濤進一步指出��,更為令人擔憂的是��,360的“后門”控制屬于云端�����,至今仍秘而不宣�����。“凡安裝360安全瀏覽器或360安全衛(wèi)士的電腦�,都已客觀上成了360可以任意支配的‘肉雞’。而360目前在許多領域中的不正當行為�,都是基于其安全入口的裁判員機制而實施成功的。”
而來自金山的反病毒專家李鐵軍認為���,360瀏覽器的后門機制,實際上已綁架了用戶��,成為360通過用戶的瀏覽器來直接攻擊競爭對手的工具��,包括阻止 或殺死競爭對手的各類客戶端軟件���,阻止其中的重要程序�,破壞競爭對手軟件的功能等等�。“這樣的丑行只有中國才有,是世界上惟一的先例����。
