《每日經濟新聞》記者注意到,在這封舉報信中,獨立調查員直接斥責道:“奇虎360公司的 ‘360安全瀏覽器’暗藏‘后門’,是用戶系統安全和信息安全的嚴重潛在威脅”。
他舉證說,360安全瀏覽器實為C/S架構木馬系統的客戶端,服務器群是se.360.cn(云架構,IP地址不定)。瀏覽器每隔5分鐘即向服務器請求新的“指示”。新的指示偽裝成Ini(純文本文件類型)發出,實際上是DII文件(Windows可執行程序庫或資料庫)等。
此事一石激起千層浪。不過,具有挑戰的是,獨立調查員的分析結果僅僅是網絡分析,是“后門”機制的初步證據和技術推斷,而非直接的鐵證。正是因為這樣,360開始在網絡上對其進行質疑、攻擊,甚至嘲諷。
“他們以為我只會網絡抓包呢!”獨立調查員表示。于是,為了做實360的后門機制,他決定反向分析瀏覽器本身的程序庫,并詳細分析出“后門”機制的內部執行流程。
然而,這并非一件容易的事情。“因為沒有軟件源程序、更沒有設計文檔,所以分析難度相當大。給你個軟件,只能進行其公開可見的操作,而內部運作卻完全是個黑洞。”獨立調查員表示。
源程序(源代碼)自然沒有。而要通過反向工程來破解,難度相對較高,也非常浪費時間。何況360瀏覽器軟件規模不小,而且還有很多內置的擴展程序。
“我首先用排除法把擴展組件挨個干掉,我刪掉一個擴展組件,如果后門機制還在,說明與這個擴展組件無關。”獨立調查員最開始的直覺是后門應該在擴展程序里面,因為主程序要送檢,但是當獨立調查員把可見的擴展程序全部刪掉后,后門還在,于是他開始刪(對普通用戶)不可見的擴展組件。
“通過排除法,最后確認是擴展組件SmartWiz在搞鬼。刪掉它以后,瀏覽器就安靜了,那個5分鐘一輪的上傳下達活動消失了。”
不過,還沒有結束。為了進一步查明360后門真相,獨立調查員還需要反向編譯出匯編代碼并跟蹤測試。
通過一系列技術過程,獨立調查員掌握了360瀏覽器在SmartWiz整個組件里與360服務器間建立通信、下載、臨時存儲、加載執行、刪除(銷毀證據)的流程,同時也知道了其時鐘控制調度機制(5分鐘間隔定時器)。
360后門的安全之殤/
360安全瀏覽器設計出來的后門,恰恰給用戶帶來了極大的不安全。
為了讓用戶知道這個后門的惡劣程度,一直涉足互聯網安全工作的騰訊集團副總裁曾宇,對沒有后門的瀏覽器的重要性做了解答。
一般個人用戶的電腦中,90%以上為windows系統,這套系統與互聯網之間的聯系,是需要瀏覽器來實現的,同時,因為瀏覽器的閉環作用
(可以理解為沒有縫的雞蛋殼,除非用戶特別授權),其也是windows系統與互聯網之間的天然屏障,任何來自于其他云端的指令等,都不會穿透這層保護而到達windows系統。這樣,用戶電腦中的windows系統得到最好的保護,所有執行的指令,都是來自于用戶自己。
而IDF互聯網情報威懾防御實驗室創始人萬濤則對瀏覽器后門做了解讀。他說,被稱作360“安全”的瀏覽器,卻有一個特殊的資源文件,這個資源文件硬生生地將這個蛋殼打開了一條縫,而且是一條用戶看不到的縫。
通過這個后門,360瀏覽器可以根據監視用戶電腦操作過程中出現的情況,向360云安全中心發出請求,360云端的后門服務體系根據請求,給出相應的DLL,即windows可執行程序庫。這個DLL通過360瀏覽器的后門,直接進入用戶的windows系統。
此時,這個DLL好生了得,它甚至已不受瀏覽器的控制,它在用戶windows系統中可做的事情包括但不限于:
獲取用戶的文件,并上傳到云端;
讀寫、增刪用戶的文件;
監聽用戶通訊;
更改windows系統的注冊表或重要的設置參數;
悄悄卸載競爭對手的產品,等等。
同時,這個DLL還可以通過這個后門,直接對互聯網發出指令,包括但不限于:
自動從360服務器下載軟件來安裝或運行;
代替用戶直接進行電子商務操作;
釋放木馬或病毒、創建常駐系統的服務,等等。
360是否做了這些呢?如果做了,對其自身又會有怎樣的價值呢?會對行業、用戶帶來怎樣的傷害呢?沒有人知道答案。
“搞清楚這些細節后,我就著手重現后門機制的運作,讓本來不可見的過程變得可見,以做可視化演示,讓大家不僅能感知而且能 ‘看到’360暗設的這道‘后門’。”獨立調查員表示。
在他看來,360那個后門每5分鐘都會找360服務器下載一個DLL并加載執行,但它是個后門,隱蔽性第一,因此DLL無論如何不會現身,不存在彈出對話窗口或消息框,因此需要給它模擬一個測試環境。
“通過在本地架設DNS服務,劫持360.cn的域名解析,把我的機器偽裝成360的服務器,然后那個注入瀏覽器的DLL不就由我自由控制了么?”獨立調查員表示,通過編一個只要被加載執行就馬上彈出消息框的DLL,拿自己寫的DLL注入給360瀏覽器,這就讓360瀏覽器的后門機制的運行完全可見了。
就這樣,瀏覽器果然如預期的那樣,把獨立調查員在DLL里面寫的消息框給彈出來了。
