“開始想到的是禁用網卡和改360loginfo目錄的訪問權限,但奇怪的是,有時能在安裝后幾分鐘內即可在360loginfo目錄看到日志生成,有時等幾小時都不能重現,于是嘗試將系統日期從單數修改為雙數或從雙數修改為單數,結果很快看到奇怪的日志文件出現了。”李鐵軍表示,這幾條重現規則是反復多次嘗試之后才總結出來的。
而上述結果也在曝光之后第一時間得到IDF互聯網情報威懾防御實驗室的驗證。2012年11月25日,該實驗室發布報告表示,360安全衛士v7.3.0.2003l所搜集用戶軟件操作信息,對用戶隱私造成風險,若用戶運行 某 一 程 序 ,360安 全 衛 士v7.3.0.2003l會把程序所在路徑搜集并未經加密上傳至360服務器。若360公司所存放信息的數據庫泄露或傳輸數據被黑客截取進行社工分析,可造成用戶的信息泄露。
萬濤對《每日經濟新聞》表示,根據之前的評測報告,360安全衛士v7.3.0.2003l對用戶信息的處理涉嫌未遵守其中的用戶知情權、選擇權及禁止權,并在未獲得個人信息主體的明確同意下記錄和上傳用戶行為數據。
值得注意的是,已于2月1日正式生效的我國首個個人信息保護國家標準 《信息安全技術公共及商用服務信息系統個人信息保護指南》明確規定,個人信息獲得者在收集個人信息時,需“具有特定、明確、合法的目的”。基于此,在收集前要采用個人信息主體易知悉的方式,向個人信息主體明確告知和警示如下事項:處理個人信息的目的;個人信息的收集方式和手段、收集的具體內容和留存時限;個人信息的使用范圍、被收集后的個人信息保護措施、個人信息主體的投訴渠道;同時提醒個人信息主體提供個人信息后可能存在的風險和個人信息主體不提供個人信息可能出現的后果。且“只收集能夠達到已告知目的的最少信息”。而信息獲得者如需將個人信息轉移或委托于其他組織和機構時,也需要向個人信息主體明確告知轉移或委托的目的、轉移或委托個人信息的具體內容和使用范圍、接受委托的個人信息獲得者的名稱、地址、聯系方式等。
很明顯,360公司在個人信息的收集、加工、轉移、刪除等環節,明顯將行業的游戲規則拋諸腦后,一意孤行地進行著暗箱操作。
技術篇之二·后門
360后門秘道:“上帝之手”,抑或“惡魔之手”?
每經記者 秦俑
“作為宣稱‘最安全的瀏覽器’的360安全瀏覽器,被發現存在極大潛在安全威脅的‘后門’。毫無疑問,‘獨立調查員’是第一人。即使給他頒發一個國家級的科技發現獎也不為過。而且,多少年后,人們一定會感謝這位幕后的英雄,為了廣大用戶的上網安全,做出了卓越的貢獻。”百度安全部門的相關負責人如此評價360安全瀏覽器“后門”發現者。
按照獨立調查員的理解,所謂360的后門,不僅存在于360安全瀏覽器,也存在于360安全衛士。他說,“你這樣來看,在你的小區,保安說,因為安全的需要,你們要將房門的鑰匙放一把在我身上,我可以隨時來檢查你家庭的安全。這本身已經非常大的不安全了,但你更不知道的是,這個保安公司,還在地下挖有一條通道,可以直接從地下通過地道悄悄進入你的房間。而這個地道,就是后門。”
360后門秘道浮出水面/
2012年10月,當時“方周大戰”正酣,獨立調查員才注意到了360安全產品,因為他一直是裸機,從未想過要關注360。但這一關注,他敏銳地發現,360“非常異類”——許多行為不僅是反安全的,甚至是“反人類的”。
獨立調查員特意在用于測試的虛擬機中安裝了全套360產品,并由此發現360產品的許多 “不規矩行為”,他隨手將這些發現發布在微博上,立即引起許多關注,但也遭到一些人的攻擊。“有些人明顯就是360的人在挑釁,這激怒了我,我這人不喜歡耍嘴皮子,我是軟件專業人員,我只講證據”,獨立調查員如此說。
獨立調查員發現,360瀏覽器網絡通信有非常異常的情況,“最開始只是發現其時間周期性:每隔5分鐘,瀏覽器就主動發起一次與服務器之間的通信過程,雖然不知道在干嘛,但其短周期性非常可疑。”
為什么不打開任何網頁、不動鍵盤和鼠標,360瀏覽器依然忙個不停呢?“國內外所有的知名瀏覽器都不會存在這樣的行為模式。可以肯定,此中必有蹊蹺”。
于是,他繼續追查,雖然下載的文件名是文本文件(ini),但當他把數據包拼接成文件后一看 (當時尚不知道服務器IP地址對應域名,受服務器限制未能通過網址直接下載文件,也尚未注意到文件被暫存于臨時文件夾),實際是個DLL(可動態加載的程序模塊)。“以我的知識和經驗,很快意識到問題的嚴重性——以更新配置文件為耳目、周期性下載并加載執行小程序——這是一個后門。至于360利用它做什么、曾做過什么并非重點,重點是他們可以做任何事而不為人知、不留痕跡。”
于是,他于去年10月29日通過微博對外公布了360瀏覽器有后門的事實,同時公開向工信部、公安部發出了一封名為《公開舉報奇虎360公司——致工信部、公安部公開信》的舉報信。
