360黑匣子之谜 - 奇虎360“癌”性基因大揭秘
昨日(2 月 25 日),正是奇虎 360 所有 APP 产品被苹果全面下架一个月的日子。
就在此前,360 的 CFO 亲赴美国“负荆请罪”,但 360 相关产品并未重新上架。
知情人士向 《每日经济新闻》记者透露,国家版权局内部已讨论确定,360 搜索引擎严重违反 Robots 国际规则,目前正在拟定相关处罚决定,近期将在行政处罚会议上责令 360 停止侵权,进行整改。
据悉,有“两会”代表委员正在草拟严惩不正当恶性竞争破坏产业,以及“3·15”应该将隐私保护列入重点的议案提案。
《信息方略》的一份调研结果显示,回答“拒绝安装 360”的企业比例高达 60%。
一家以声称安全起家的互联网公司,正面临“不安全”的声讨……
360 到底怎么了?这是一家什么样的企业?带着这样的疑问,《每日经济新闻》记者经过数月调查,并在微博名人“独立调查员”等一批程序“猿”的帮助下,揭开了 360 的层层内幕。
360 创始人周鸿?一直对外宣称,360 成功的秘诀是 “破坏性创新”。但记者调查发现,360 的成功,更重要的是在于其“创新型破坏”:破坏才是目标。通过破坏,打破既有规则,从中获得市场与利益。
而这一破坏的基础,便是对互联网世界最基本的准则——最小特权原则的践踏。
为全面还原 360 的真实面目,“独立调查员”们以超人的技术能力与艰辛的劳动,剥茧抽丝般一层层揭开,将其内部机制破解成功。
360 发家于 “360 安全卫士”、“360 安全浏览器”,而这两款产品甫一面世,便携带了这家公司的癌性基因:以违反“最小特权原则”为基石而构建。
《每日经济新闻》记者第一次查清,360 是如何在其庞大的以安全著称的“安全卫士”、“安全浏览器”软件中,植入非法程序,并通过该非法程序中的“后门机制”与 360 云端配合,形成全球独一无二的秘密内部机制。
最令人惊诧的,是即使在 360 内部也属高度机密的 “V3 升级机制”。当 360 要发动一场讨伐竞品的战争时,其便启动“V3 机制”——通过“安全卫士”、“安全浏览器”,在用户电脑中私自卸载竞争对手的产品,私自安装自己要推广的产品,从而以最便捷的方式一举占领市场,这就是 360 常胜不衰的真正秘诀。
在这场看不见的战争中,360 表现出两个粗暴:粗暴侵犯网民的合法权益(隐私权、知情权、同意权)、粗暴侵犯同行的基本权益,肆无忌惮地破坏行业规则,从而实现其“一枝黄花”式的疯狂成长。
360 现象,不仅对行业有巨大的破坏性,对互联网秩序产生严重的破坏力,更是对整个社会产生“癌性浸润”。
这种“癌性浸润”,让原本的市场竞争转向了底层控制力的交战。《每日经济新闻》记者获悉,百度即将砸重金投向安全领域,最快将于今年上半年正式推出,这与经历“3Q 大战”的腾讯进驻安全领域如出一辙。
更为可悲的是,为了防御 360 的“癌性浸润”,从底层控制到应用层几大巨头均涉足其中,这样带来的直接后果就是,未来中国互联网将变成一个腾讯、百度、阿里、360“四国顶立”的擎天 柱式体系。而这将让一个个丰满、丰富的热带雨林式生态环境变成巨无霸们为生存而生灵涂炭的地方。
360 会“立地成佛”么?这或许会是一场持久战……
《每日经济新闻》将持续关注。
(出于保护记者人身安全的考虑,本组稿件记者署名均为化名)
调查员独白:我为什么反 360?
我先讲一个故事吧。
在现实生活中,我们都知道一个最简单的常识:小区的保安公司都是必须向业主收取服务费的。但是,某年某城市的一个小区,来了一个K保安公司,宣布他们将为小区提供免费服务。经过几轮波折,最终K保安公司实现接管小区保安业务。
K 公司入驻后,当然全部换上K保安人员,并迅速换上K公司特产的小区监控系统——在小区的每一个视角都安装了监视体系。业主们觉得,这真是天下难找的大好事啊,居然能够免费获得最好的安全保卫。
不久,K公司出于安全考虑,将物业公司辞了,换上K安全物业公司;再接着,小区园林服务公司也换成K安全园林公司;再接着,业主所有私家车都装 上了K安全 GPS 导航;再接着,K安全物流、K安全农贸、K安全服饰、K安全电视、K安全电脑、K安全冰箱与热水器、K安全门控与门锁……小区业主的所有一切都被换上了K 安全的标志。
K 安全公司能将业主的这一切统统换掉,只有一个原因:那就是,这一切“安全”方面的服务,都是免费的。
但有一天,B业主夫妇在家中行房事时,黑暗中发现家中有异样,打开灯一看,一个保安正在床前监控着这对夫妇的云雨过程。这对夫妇羞愤难当:你是怎么进来的?
保安说:我有钥匙,出于对你们性生活安全的考虑,我有权保护你们。
B 业主夫妇找来安全方面的专家,来保护自己的安全隐私,结果却发现,保安不仅在夫妇行房事时可以进来“免费观赏”,他们在任何时候都可以自由进出业主的房间;他们不仅在小区的任何公共空间安装了监控系统,同时在业主室内的任何一个视角,都秘密安装了监控器。
这对夫妇决定召集全小区业主反对K保安公司的所有侵犯行为。
但让小区所有业主异常惊讶的是:就在开庭前一天,网络上突然出现大量B业主夫妇的信息,比如,B业主女臀部有三颗痣的图片在网络上大量流传;B业主夫妇的工资单被晒;B业主男与前女友 10 年的情书来往从其前女友的电脑中被挖出来。
B 业主夫妇顿时陷入网络漩涡
……
在中国互联网领域,360 所充当的,就是这个K保安公司。
在中国,为什么 360 能够获得如此重要的市场地位,除了用户在隐私权、知情权、网络自主权方面的意识不强外,最大的问题还是中国网民对互联网来说还是“小白”,他们没有办法看 清 360 干了什么,也没有办法辨清什么是可行的,什么是不可行的;也不清楚 360 的一些行为在今天意味着什么,在明天又将意味着什么。
我脑海中,一直在重复卡夫卡小说《城堡》中的场景,你不知为什么,你也不知是怎么了,然后,你就任人宰割了。
森白的月光下,那把霍霍磨着的长刀……
——来自独立调查员的自白
技术篇
360:互联网的癌细胞
每经记者秦俑
深圳,红树林,旁边就是深圳湾公园,有蜿蜒的海堤风景带;海的那端是云雾间的山峦以及错落的建筑,那是香港特别行政区。
经过前期网上 100 多天艰苦的技术交流后,《每日经济新闻》记者终于约到了“独立调查员”。这是我们之间的第二次见面。这一次,我们相约只做一件事情:将 360(奇虎 360 科技有限公司,本文简称为 360) 在幕后所做的一些难以见光的行为,在网上重新演绎一遍。
这一过程漫长而复杂。几天几夜里,独立调查员展开的网络实证让人触目惊心,许多动态的过程无法通过平面文字呈现。事实上,独立调查员曾经在网上披露的内容,绝大多数网民也不可能看懂。
2012 年 10 月,一个署名“独立调查员”的微博开始向 360 发难,时至今日,《每日经济新闻》记者已跟踪此人整整 3 个月:初始时基本上通过网络实现沟通,渐渐地,有了电话中的直接交流。
在思维碰撞中,记者发现,“独立调查员”对 360 的反感是深切的;他对 360 的研究也是深刻的。令《每日经济新闻》记者万分好奇而且不解的是:他的动力来自何方?
“如果你得了癌症,你的第一反应是什么?”独立调查员反问道,“那一定得赶快把它切除掉!而 360 正是网络社会的毒瘤。此瘤不除,不仅中国互联网社会永无安宁之日,整个中国都永无安宁之日。”
独立调查员分析说,不要小看了苹果对 360 产品下架一事,这种下架的期限极有可能是“永久性”。为什么一个在中国能够获得如此巨大影响力的公司,会在一家全球性大公司处遭遇截然相反的待遇?“这只 能说明眼下的互联网空间没有能力排除自身的毒瘤。而苹果下架 360,背后正体现出对肿瘤的自体免疫排斥性,这是一个网络社会健康的标志。”
独立调查员认为,他作为一名程序员,就是要从技术层面来理清 360 这个“DNA”的基因突变。“这个突变的基因,就是 360 安全卫士或 360 安全浏览器,一切都会发生改变。”
互联网其实与人体一样,本身具备着抗癌的免疫力。一旦发现癌细胞,自身会启动自动识别与排斥机制,比如“最小特权原则”就是互联网江湖防止自身“癌变”的免疫机制。
所谓最小特权 (LeastPrivilege),指的是“在完成某种操作时所赋予网络中每个主体 (用户或进程)必不可少的特权”;最小特权原则,则是指“应限定网络中每个主体所必须的最小特权,确保可能的事故、错误、网络部件的篡改等原因造成的损失最小”。
这一特权最通俗的说法就是:你不要代替用户行使权力,你的特权越小越少越好。这样,才是对用户最大的保护。能不作为处,不作为。
“而奇虎 360 的‘基因变异’正体现在此处,表现为 ‘奇虎 360 原则’——以安全的名义,在用户知情或不知情的情况下,直接代表网民行使权益。”独立调查员说,“其实,最小特权原则非常简单。比如一个电话检查员,为了 检查你家的电话是否正常好使,便在主人不在家时,直接打开你家的门,试用了一下电话;或者说,因为你家的狗在叫,物业打开你家的门,直接将狗杀了。这都是 违反了最小特权原则。而 360 最大的问题就是以安全的名义,践踏了这一原则。”
360 是如何通过环环相扣的程序设计,就像本文开头部分的K保安公司监控业主夫妇房事一样,或就像电话检查员径直打开主人房门查线一样,或就像物业工作人员直接 打开业主房门进去把主人的狗杀掉一样,在用户的电脑里横冲直闯、恣意妄为?本文将为读者揭开 360 相关产品背后的层层暗箱操作链条。
技术篇之一·黑匣子
360 产品内藏黑匣子:工蜂般盗取个人隐私信息
每经记者秦俑
这是一件真实的事情:多年前,业内一家知名 IT 公司一个产品将上线,但蹊跷的是,该产品上线前一天,360 的同类产品突然上线。而且,360 上线产品的页面与该公司准备上线的版本几乎一模一样。这家 IT 公司的此款产品不上线已不可能,而改版也已不可能。被逼无奈之下,该产品只能硬着头皮上线。让这家 IT 公司哭笑不得的是,由于此款产品上线时间比 360 同类产品晚一天,所以用户普遍认为,该公司的产品抄袭了 360 产品。
此类诡异怪事,在业内已不止一次发生。
谁是泄密者?上述 IT 公司最终未能找到“卧底”,不过开始将质疑对象聚焦在 360 产品身上。因为实查结果发现,该公司不少员工电脑上安装了 360 相关产品。
出于安全考虑,该公司要求所有员工的工作电脑中不得安装 360 产品。与此同时,公司内网环境中,全面禁止 360 产品。从此,确实没有再发生过类似的泄密情况。
据《每日经济新闻》记者了解,国内最早全面禁用 360 产品的企业为腾讯、百度、金山等一批公司。在这些公司的办公环境中,完全屏蔽 360 产品,如确因公司研究性工作需要,才可以安装虚拟机使用 360 产品。
国内几家互联网巨头公司,均以安全为由禁止使用一家以互联网安全著称的公司的相关产品,这在中国 IT 界构成了一道未解的谜团。
大型公司尚且对 360 产品避之不及,对于普通用户来说,使用 360 相关“安全”产品,安全吗?
在中国有“黑客教父”之称的安全技术专家“黑客老鹰”,即 IDF 互联网情报威慑防御实验室创始人万涛认为,从隐私保护和用户权益的角度讲,360 产品确实存在需要澄清的地方。但中国用户目前在隐私保护方面的意识并不强,这是一个比较普遍的现象。因为对许多用户来说,“我上网就是看看新闻,玩玩游 戏,我没有隐私”。这一观点非常流行。
万涛表示,而在另一方面,多年来尽管民间在破获 360 侵犯隐私等方面做了许多努力,并查获了许多证据,但 360 在这方面的“反应”也非常“严密”。此外,获得的一些突破性证据因为过于专业,也不易让普通用户看懂,因此也就缺乏相应的感知。
黑客揭秘:360 安全产品背后的“安全”陷阱/
在深圳红树林,独立调查员为《每日经济新闻》记者进行了现场演示。他特意在自己的电脑上安装了 360 安全浏览器,并打开网络通信监视工具,这时可以看到,360 安全浏览器在其电脑后台上就像一只工蜂,始终不停地忙碌着。
然后,独立调查员又打开 IE、腾讯、猎豹、chrome 等浏览器,每一个浏览器都很安静,没有任何动作。
“360 安全浏览器在干嘛呢?谁也不知道。为什么要这样忙碌呢?作为浏览器,其作用就是可以显示网页服务器或者文件系统的 HTML 文件内容,并让用户与这些文件交互的一种软件。根据最小特权原则,你是没有理由在我的电脑里不停地‘工作’。你要问他在做什么,他就说,是为了你的安 全。”
“明明知道 360 在做不应该发生的事情,但不知道发生的是什么事情。这就是 360 留给中国所有安全专业人员最大的课题。”独立调查员解释说,这是因为 360 在这方面做了非常缜密的设计,其防御体系相当严密,要突破防线有所收获,是件非常困难的事情。
而这,也正是许多从事安全的专家们感兴趣的事情。
2010 年 2 月 6 日,360 多年的宿敌——瑞星拿出了一份 “证据”,其发布的《奇虎 360 利用“后门”拿走了用户什么》一文,利用大量技术细节说明 360 安全卫士在安装进用户电脑时,会偷偷开设后门,并时刻监视用户访问网站,将相关信息上传至 360 网站。
此事标志着 360 第一次露出“不安全”的真面目,从此一发而不可收拾。
据《每日经济新闻》记者调查,国内有一大批黑客对破获 360 的防线,以及搞明白 360 这个黑匣子内到底有什么非常感兴趣,想通过攻击 360 而获得其侵犯用户隐私信息的证据。他们之间甚至有一个松散型的组织,经常交换这方面的信息。但与此同时,也有些黑客最终被 360“招安”,成为其公司成员。
2010 年 12 月 31 日,在黑客狂轰滥炸 360 服务器后,360 防线被攻破,存储于其服务器上的大量用户隐私数据喷涌而出,被谷歌搜索爬虫自动抓取,并公告天下。360 多年来宣称的 “用户隐私大于天”的谎言正式被揭穿。
上图为某网民通过 360safe.com 泄露的数据登录某政府机关的内部邮箱
这份意外泄露的文件详细记录了大量 360 用户的全网访问过程,包括浏览的网页、下载过的应用、搜索的关键字等,并将这些访问记录与唯一用户挂钩。在这个服务器中,每个用户对应一个字符串,通过查 询字符串,可以了解用户的所有个人信息、上网浏览记录、账号密码,例如用户在百度搜索关键字、淘宝购物记录、金蝶、奇瑞等企业内部财务网络数据、某政府机 构官方邮箱用户名及密码等链接数据。
《每日经济新闻》获得的一份对泄露日志文件分析统计的结果显示,此次泄密事件涉及总条数 141 万条,其中涉及用户名信息的条目有 247326 个,既包含用户名又包含密码条目有 816 个。而这对于 360 收集的海量数据来说只是冰山一角,截至目前为止,360 从没有公开解释被泄露的数据总量有多少,被下载了多少次。
然而,有关 360 如何“利用”用户的信任,如《全民公敌》影片中的卫星一样“间谍”式地监控着用户的电脑,这个谜团却依然没有办法破解,至今没有一家安全厂商拿出这个过程的有力证据。
独立调查员告诉记者,360 安全卫士、360 安全浏览器,其内部运作流程就像一个暗箱,外部人可以听到里面有动作,但却没有办法知道里面发生了什么,以及它如何阻止外部人破解它。
而独立调查员却偏执地选择了这条破解之路。他先制作了一张简单的图表,以揭示 360 拳头产品 360 安全卫士内部的操作模型(如图)。
从这个图中可以看出,360 安全卫士对用户在电脑上进行软件操作、文档操作等所有操作举动均秘密进行监视、记录,然后进行压缩后上传至云端服务器;过去,上传的过程为明文上传,这对用户的隐私带来非常严重的威胁,在经历过几次大的泄密事件后,目前上传文件已经加密。
文件上传到 360 云端存储后,文件会立即在本地被删除,这招防御术非常凶狠,即使有人破解其行为,并获得文件证据,但因为随时的删除,很难将证据做实,变成死无对证的孤证。
用户电脑中的 360 安全卫士这一套运行机制都是事先预设好的,可以独立操作完成;但实际上,360 云端(360 安全数据中心)对用户客户端的 360 安全卫士具备直接控制能力。360 云端不仅可以下达专门的指令(后文还将详述),同时一旦 360 安全卫士发现有人在监视其通信操作等,会发出安全警告以阻止继续操作并限时自行禁止。这也给破获工作带来相当程度的干扰。
据一名多年研究 360 产品的黑客告诉《每日经济新闻》记者,“设置如此高难度障碍的人一定是行业的高手。可以断定,360 内部一定有国内顶尖级的黑客高手。他们才有可能做到既做暗事,又不留任何把柄。这就像是一个江洋大盗,来无影,去无踪,飘忽不定,作案后现场不留任何痕 迹,实在是高精尖的设计。”
这名黑客发现,360 安全卫士的暗箱操作行踪越来越没有规律可循,换句话说,其运作规律经过精心策划,非常不容易被外界掌握。同时,其获取信息的区域半径越来越由中心城市向 二、三、四线城市延伸。这样的话,要想抓到证据就更为艰难。“中国拥有 30 多个省级行政区,336 个二级行政区,还不包括数以千计的三级、四级行政区,这就相当于 360 安全卫士在中国网民的生活中布下了天罗地网。”
据《每日经济新闻》记者调查发现,国内不止一家公司准备投入大量人力来破获 360 的违法行为,但最终都偃旗息鼓。原因就在于,360 收集用户信息的行为 “就像空中划过的彗星,茫茫夜空,布下天罗地网,时刻守候,才有可能有所斩获,这样的投入产出比太低了”。
黑匣子现身:对用户个人信息涉嫌暗箱操作/
“破解 360 安全卫士的非法操作,是一件很好玩的猫捉老鼠的事情。”上述黑客向《每日经济新闻》记者感叹说,360 安全卫士的技术架构非常复杂,组件有很多程序,软件包有几十个可执行的程序,还有扩展库。如果要查清楚是否侵犯用户隐私,则需要对每个程序进行分析,就像 分析病毒一样地分析每个文件,而这需要投入大量的时间和精力。
这名黑客给记者展示了许多“同行”间来往的邮件,此中展现出破解之后的喜悦,以及经验的交流。
而独立调查员宣称,他“已基本破解了 360 安全卫士的谜局,但离发布还为时尚早”,因为他要做“铁板钉钉的事情”。
在《每日经济新闻》记者保证不会将其操作思路披露的情况下,独立调查员将其操作的核心步骤进行了详尽的现场演示。在征得其允诺的情况下,记者可以告知的是:针对 360 的设置,进行反向操作,反向分析而破解。
到目前为止,已经披露的最重要证据为独立调查员于 2012 年 12 月 6 日在其微博上发布的一个视频(http:/weibo.com/2902756801/z8BUvfWqe)。这份视频详尽地破解了 360 安全卫士秘密获取用户信息的过程。
独立调查员告诉记者,这份 13 分 36 秒的视频以完整的手法记录了破获 360 窃取用户隐私的证据。它证明了 360 在用户电脑中收集、上传用户信息的“动作”,“猖狂到任何简单的、常规的软件操作行为都将被记录,与安全问题完全无关,而这些信息都在用户个人隐私范 畴”。
但据独立调查员宣称,这份视频资料并非其采集、制作,“而是来自一名自称是安全领域专家的匿名人士”,他通过微博私信向独立调查员爆料:自己已经掌握了 360 安全卫士 7.3 窃取用户隐私并上传到 360 服务器的司法证据,现在可以无偿将这段司法证据给他。
而关于这份证据,独立调查员认为,将是未来给 360 的“一颗小小的炸弹”,在法庭上是有力的呈堂证供。
据记者了解,去年 11 月 28 日,在易观国际主办的“易士堂”网络安全论坛(第二季)论坛上,这份视频资料也曾分享给包括国家信息中心、中国信息安全测评中心等安全业界人士;而最初制 作这段视频并进行司法公证的正是金山安全专家李铁军。不过李铁军否认自己就是给独立调查员爆料的匿名人士。
据李铁军透露,2010 年 11 月,卡饭安全论坛有人爆料称“360 安全卫士 7.3 的某个版本会窃取用户隐私上传到 360 服务器”,爆料的内容非常简单,只提供了一个有趣的细节暗示:需要用户在 360loginfo 目录对删除权限做一个修改才有可能捕捉到 360 的罪证,帖子不久就消失了。
李铁军首先尝试重现帖子描述的问题,而不是对软件进行逆向分析,经过数月才完成了这一个证据的抓取。
“反反复复不知道试了多少回。”李铁军对《每日经济新闻》记者表示,凭借多年的经验,他终于找到了关键所在,比如有窃取隐私问题的 360 安全卫士版本号为 7.3.0.2003l,数字签名时间为 2010 年 11 月 8 日,要想重现必须将 360loginfo 访问权限修改为“所有人不可删除”;再比如安装时修改系统时间与 2010 年 11 月 8 日不能相差太久,安装前须断开网络(禁用网卡或拔网线)。
即使这样,也有一些情况在李铁军“意料之外”。
“开始想到的是禁用网卡和改 360loginfo 目录的访问权限,但奇怪的是,有时能在安装后几分钟内即可在 360loginfo 目录看到日志生成,有时等几小时都不能重现,于是尝试将系统日期从单数修改为双数或从双数修改为单数,结果很快看到奇怪的日志文件出现了。”李铁军表示, 这几条重现规则是反复多次尝试之后才总结出来的。
而上述结果也在曝光之后第一时间得到 IDF 互联网情报威慑防御实验室的验证。2012 年 11 月 25 日,该实验室发布报告表示,360 安全卫士 v7.3.0.2003l 所搜集用户软件操作信息,对用户隐私造成风险,若用户运行某一程序 ,360 安全卫士 v7.3.0.2003l 会把程序所在路径搜集并未经加密上传至 360 服务器。若 360 公司所存放信息的数据库泄露或传输数据被黑客截取进行社工分析, 可造成用户的信息泄露。
万涛对《每日经济新闻》表示,根据之前的评测报告,360 安全卫士 v7.3.0.2003l 对用户信息的处理涉嫌未遵守其中的用户知情权、选择权及禁止权,并在未获得个人信息主体的明确同意下记录和上传用户行为数据。
值得注意的是,已于 2 月 1 日正式生效的我国首个个人信息保护国家标准 《信息安全技术公共及商用服务信息系统个人信息保护指南》明确规定,个人信息获得者在收集个人信息时,需“具有特定、明确、合法的目的”。基于此,在收集 前要采用个人信息主体易知悉的方式,向个人信息主体明确告知和警示如下事项:处理个人信息的目的;个人信息的收集方式和手段、收集的具体内容和留存时限; 个人信息的使用范围、被收集后的个人信息保护措施、个人信息主体的投诉渠道;同时提醒个人信息主体提供个人信息后可能存在的风险和个人信息主体不提供个人 信息可能出现的后果。且“只收集能够达到已告知目的的最少信息”。而信息获得者如需将个人信息转移或委托于其他组织和机构时,也需要向个人信息主体明确告 知转移或委托的目的、转移或委托个人信息的具体内容和使用范围、接受委托的个人信息获得者的名称、地址、联系方式等。
很明显,360 公司在个人信息的收集、加工、转移、删除等环节,明显将行业的游戏规则抛诸脑后,一意孤行地进行着暗箱操作。
技术篇之二·后门
360 后门秘道:“上帝之手”,抑或“恶魔之手”?
每经记者秦俑
“作为宣称‘最安全的浏览器’的 360 安全浏览器,被发现存在极大潜在安全威胁的‘后门’。毫无疑问,‘独立调查员’是第一人。即使给他颁发一个国家级的科技发现奖也不为过。而且,多少年后, 人们一定会感谢这位幕后的英雄,为了广大用户的上网安全,做出了卓越的贡献。”百度安全部门的相关负责人如此评价 360 安全浏览器“后门”发现者。
按照独立调查员的理解,所谓 360 的后门,不仅存在于 360 安全浏览器,也存在于 360 安全卫士。他说,“你这样来看,在你的小区,保安说,因为安全的需要,你们要将房门的钥匙放一把在我身上,我可以随时来检查你家庭的安全。这本身已经非常 大的不安全了,但你更不知道的是,这个保安公司,还在地下挖有一条通道,可以直接从地下通过地道悄悄进入你的房间。而这个地道,就是后门。”
360 后门秘道浮出水面/
2012 年 10 月,当时“方周大战”正酣,独立调查员才注意到了 360 安全产品,因为他一直是裸机,从未想过要关注 360。但这一关注,他敏锐地发现,360“非常异类”——许多行为不仅是反安全的,甚至是“反人类的”。
独立调查员特意在用于测试的虚拟机中安装了全套 360 产品,并由此发现 360 产品的许多 “不规矩行为”,他随手将这些发现发布在微博上,立即引起许多关注,但也遭到一些人的攻击。“有些人明显就是 360 的人在挑衅,这激怒了我,我这人不喜欢耍嘴皮子,我是软件专业人员,我只讲证据”,独立调查员如此说。
独立调查员发现,360 浏览器网络通信有非常异常的情况,“最开始只是发现其时间周期性:每隔 5 分钟,浏览器就主动发起一次与服务器之间的通信过程,虽然不知道在干嘛,但其短周期性非常可疑。”
为什么不打开任何网页、不动键盘和鼠标,360 浏览器依然忙个不停呢?“国内外所有的知名浏览器都不会存在这样的行为模式。可以肯定,此中必有蹊跷”。
于是,他继续追查,虽然下载的文件名是文本文件(ini),但当他把数据包拼接成文件后一看 (当时尚不知道服务器 IP 地址对应域名,受服务器限制未能通过网址直接下载文件,也尚未注意到文件被暂存于临时文件夹),实际是个 DLL (可动态加载的程序模块)。“以我的知识和经验,很快意识到问题的严重性——以更新配置文件为耳目、周期性下载并加载执行小程序——这是一个后门。至于 360 利用它做什么、曾做过什么并非重点,重点是他们可以做任何事而不为人知、不留痕迹。”
于是,他于去年 10 月 29 日通过微博对外公布了 360 浏览器有后门的事实,同时公开向工信部、公安部发出了一封名为《公开举报奇虎 360 公司——致工信部、公安部公开信》的举报信。
《每日经济新闻》记者注意到,在这封举报信中,独立调查员直接斥责道:“奇虎 360 公司的 ‘360 安全浏览器’暗藏‘后门’,是用户系统安全和信息安全的严重潜在威胁”。
他举证说,360 安全浏览器实为C/S架构木马系统的客户端,服务器群是 se.360.cn (云架构,IP 地址不定)。浏览器每隔 5 分钟即向服务器请求新的“指示”。新的指示伪装成 Ini (纯文本文件类型)发出,实际上是 DII 文件(Windows 可执行程序库或资料库)等。
此事一石激起千层浪。不过,具有挑战的是,独立调查员的分析结果仅仅是网络分析,是“后门”机制的初步证据和技术推断,而非直接的铁证。正是因为这样,360 开始在网络上对其进行质疑、攻击,甚至嘲讽。
“他们以为我只会网络抓包呢!”独立调查员表示。于是,为了做实 360 的后门机制,他决定反向分析浏览器本身的程序库,并详细分析出“后门”机制的内部执行流程。
然而,这并非一件容易的事情。“因为没有软件源程序、更没有设计文档,所以分析难度相当大。给你个软件,只能进行其公开可见的操作,而内部运作却完全是个黑洞。”独立调查员表示。
源程序(源代码)自然没有。而要通过反向工程来破解,难度相对较高,也非常浪费时间。何况 360 浏览器软件规模不小,而且还有很多内置的扩展程序。
“我首先用排除法把扩展组件挨个干掉,我删掉一个扩展组件,如果后门机制还在,说明与这个扩展组件无关。”独立调查员最开始的直觉是后门应该在 扩展程序里面,因为主程序要送检,但是当独立调查员把可见的扩展程序全部删掉后,后门还在,于是他开始删(对普通用户)不可见的扩展组件。
“通过排除法,最后确认是扩展组件 SmartWiz 在搞鬼。删掉它以后,浏览器就安静了,那个 5 分钟一轮的上传下达活动消失了。”
不过,还没有结束。为了进一步查明 360 后门真相,独立调查员还需要反向编译出汇编代码并跟踪测试。
通过一系列技术过程,独立调查员掌握了 360 浏览器在 SmartWiz 整个组件里与 360 服务器间建立通信、下载、临时存储、加载执行、删除(销毁证据)的流程,同时也知道了其时钟控制调度机制(5 分钟间隔定时器)。
360 后门的安全之殇/
360 安全浏览器设计出来的后门,恰恰给用户带来了极大的不安全。
为了让用户知道这个后门的恶劣程度,一直涉足互联网安全工作的腾讯集团副总裁曾宇,对没有后门的浏览器的重要性做了解答(如左图)。
一般个人用户的电脑中,90% 以上为 windows 系统,这套系统与互联网之间的联系,是需要浏览器来实现的,同时,因为浏览器的闭环作用
(可以理解为没有缝的鸡蛋壳,除非用户特别授权),其也是 windows 系统与互联网之间的天然屏障,任何来自于其他云端的指令等,都不会穿透这层保护而到达 windows 系统。这样,用户电脑中的 windows 系统得到最好的保护,所有执行的指令,都是来自于用户自己。
而 IDF 互联网情报威慑防御实验室创始人万涛则对浏览器后门做了解读。他说,被称作 360“安全”的浏览器,却有一个特殊的资源文件,这个资源文件硬生生地将这个蛋壳打开了一条缝,而且是一条用户看不到的缝。
通过这个后门,360 浏览器可以根据监视用户电脑操作过程中出现的情况,向 360 云安全中心发出请求,360 云端的后门服务体系根据请求,给出相应的 DLL,即 windows 可执行程序库。这个 DLL 通过 360 浏览器的后门,直接进入用户的 windows 系统。
此时,这个 DLL 好生了得,它甚至已不受浏览器的控制,它在用户 windows 系统中可做的事情包括但不限于:
获取用户的文件,并上传到云端;
读写、增删用户的文件;
监听用户通讯;
更改 windows 系统的注册表或重要的设置参数;
悄悄卸载竞争对手的产品,等等。
同时,这个 DLL 还可以通过这个后门,直接对互联网发出指令,包括但不限于:
自动从 360 服务器下载软件来安装或运行;
代替用户直接进行电子商务操作;
释放木马或病毒、创建常驻系统的服务,等等。
360 是否做了这些呢?如果做了,对其自身又会有怎样的价值呢?会对行业、用户带来怎样的伤害呢?没有人知道答案。
“搞清楚这些细节后,我就着手重现后门机制的运作,让本来不可见的过程变得可见,以做可视化演示,让大家不仅能感知而且能 ‘看到’360 暗设的这道‘后门’。”独立调查员表示。
在他看来,360 那个后门每 5 分钟都会找 360 服务器下载一个 DLL 并加载执行,但它是个后门,隐蔽性第一,因此 DLL 无论如何不会现身,不存在弹出对话窗口或消息框,因此需要给它模拟一个测试环境。
“通过在本地架设 DNS 服务,劫持 360.cn 的域名解析,把我的机器伪装成 360 的服务器,然后那个注入浏览器的 DLL 不就由我自由控制了么?”独立调查员表示,通过编一个只要被加载执行就马上弹出消息框的 DLL,拿自己写的 DLL 注入给 360 浏览器,这就让 360 浏览器的后门机制的运行完全可见了。
就这样,浏览器果然如预期的那样,把独立调查员在 DLL 里面写的消息框给弹出来了。
“被活捉啊!”从去年 10 月 29 日的公开信到 11 月 5 日的反向工程分析研究,前后仅为六天(仅利用业余时间)。
一个细微的细节是,独立调查员为了让更多的用户知道 360 暗藏后门的事实,还将其调查结果通过 65 分钟不间断的视频进行全网络直播。由于要保证视频内容真正做到 65 分钟不间断、不剪接,而实际上他花费了 4 个多小时一次次现实演示,直至实现一次性完成,才算真正完成这一取证工作。
独立调查员指出,可执行文件 DLL 绝非软件的自动更新(软件更新是持久性的),360 安全浏览器自动更新仅在启动时执行一次,与此行为无关;而它也不是浏览器的一部分,下载、暂存、加载调用后将立即被删除,完成使命后,不留任何痕迹。
360 后门:绑架用户的遥控器/
独立调查员的这一发现发布后,立即在业内引起巨大震动。
以电子取证为主业的独立第三方 IDF 互联网情报威慑防御实验室立即跟进,对独立调查员的举报结论进行重复性认证,结论为:360 安全浏览器 v5.0.8.7 的 ExtSmartWiz.dll 文件的属性、行为及反编译内容与独立调查员描述完全一致。
万涛表示,在当时的检测中,即使在关闭 360 安全中心可以关闭的功能,包括网址云安全、广告云拦截、第二代防假死、沙箱保护,在未进行任何浏览器操作情况下,仍然可以抓取到 ExtSmartWiz.dll 请求服务器文件及下载服务器文件记录,而这些并未包含在《360 用户隐私保护白皮书》有关 “360 安全浏览器的隐私保护说明”中。
业内一位安全专家认为,360 浏览器利用后门通过秘密手段,每 5 分钟操作一次程序性动作,究竟做了什么?现在不易获知,相信终有一天,360 内部的程序员等知情人士会将此完整地披露给大众。但可以认定,360 这一行为有不可告人的目的,最为正面的理解是:如果全国要抓贪腐,可能不再需要小三、二奶们自告奋勇地献身了,只要打开 360 浏览器,贪腐只要是上网的,基本上其丑行就可以通过 360 安全浏览器、360 安全卫士这个后门机制暴露无遗了。
针对独立调查员的证据,360 方面至今也无正面回应。
据独立调查员的最新消息,360 安全浏览器 5.0 版的“后门”机制仍在运作,但 360 服务器已不再通过“后门”下发任何 DLL,仅下发空文件(文件大小为 0 的文件)。
对 360 安全浏览器最新版(6.0.2.202) 的网络通信监测表明,在未打开和浏览任何网站的情况下,浏览器仍然在与 360 云服务器密集通信,但与 5.0 版的情况明显不同。这里是否藏了什么新的秘密?
独立调查员对此已作了尝试调研,他告诉 《每日经济新闻》记者,“有关结果,在合适的时候会披露出来。”
“此中有一个不易注意的细节,”独立调查员告诉记者,“当时,360 安全浏览器产品经理陶伟华在回应我的微博时,就把我指出的 ExtSmartWiz.dll 文件名篡改成 SmartWizRes.dll,而现在其 6.0 版本恰恰就是现在的‘SmartWizRes.dll’,可见其早已有想通过偷梁换柱的方式掩盖其恶行。”
据多位安全专家表示,“后门”并非 360 独创,原来,其作用为“方便之门”。最著名的“后门”软件为灰鸽子(Hack.Huigezi)。其诞生于 2001 年,原本是一款优秀的远程控制软件,其后门机制作用为方便实施远程控制。但正是这“后门”机制,又使其成为集多种控制方法于一体的木马病毒。 一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件等皆手到擒来。因此,自其诞生之日起,就被反病毒专业 人士判定为最具危险性的后门程序,并引发了安全领域的高度关注,同时成为全球公认的“毒王”。
360 安全浏览器比“灰鸽子”更为危险的是,它的市场占有量很高。根据艾瑞咨询此前发布的数据显示,360 最主要的产品 360 安全卫士的市场份额已经高达 84.41%,同时 360 也拥有国内最大的浏览器和网址导航份额,所占市场份额大致为 30%。这也意味着数亿量级 360 浏览器安装于用户的电脑中,如果有人破解 360 安全浏览器,从而控制这个后门的话,那将是灾难性事件,它导致一个国家的瘫痪都是完全可能的。因为 360 安全卫士、360 安全浏览器早已进入了中国大多数用户的电脑。
万涛进一步指出,更为令人担忧的是,360 的“后门”控制属于云端,至今仍秘而不宣。“凡安装 360 安全浏览器或 360 安全卫士的电脑,都已客观上成了 360 可以任意支配的‘肉鸡’。而 360 目前在许多领域中的不正当行为,都是基于其安全入口的裁判员机制而实施成功的。”
而来自金山的反病毒专家李铁军认为,360 浏览器的后门机制,实际上已绑架了用户,成为 360 通过用户的浏览器来直接攻击竞争对手的工具,包括阻止或杀死竞争对手的各类客户端软件,阻止其中的重要程序,破坏竞争对手软件的功能等等。“这样的丑行只 有中国才有,是世界上惟一的先例。”
商业篇
360:互联网的“一枝黄花”
每经记者秦俑
自由评论人、技术经济观察家瞬雨给《每日经济新闻》记者讲述了一个历史故事:
1935 年,上海从北美引进“加拿大一枝黄花”作为观赏植物,因其艳丽多姿,多用于插花配花。然而上世纪 80 年代,因其具有极强的繁殖和快速侵占力,同时,其根系会释放乙炔气体抑制其他物种生长,从而导致“加拿大一枝黄花”扎根之处,所有植物均迅速死亡,甚至使 上海 30 多种植物物种消亡,从而被列为恶性杂草。几十年来,许多地区一直在进行剿灭“加拿大一枝黄花”行动。
瞬雨认为,360 很像中国互联网界的 “一枝黄花”。360 董事长周鸿?一直强调“破坏性创新”,这正是“一枝黄花”的最好注解。
对于 360 及周鸿?,外界基本上分为两个阵营:爱之者为之欢呼,恨之者为之切齿。而欢呼者,正是出于对其破坏性快感的获得,以及对其破坏过程中所呈现的“流氓特性” 的认可;而切齿者,则不仅因其对整个互联网社会的强大破坏力,更缘于其不断地突破底线,以及对人们价值观的不断挑战。
“破坏是一件容易的事,而建设才是根本。创新不能总是以破坏为代价。”瞬雨向《每日经济新闻》记者表示,“酿制出一只青花瓷瓶,或许需要数月甚至数年的精到功夫与时间,但破坏它,一锤子砸它,只需要一秒钟。”
瞬雨认为,360 更大的危害,在于其还有许多人们所不能见的潜在威胁:360 安全卫士、360 浏览器的“癌性基因”。
作为互联网安全厂商,最重要的特性,就是恪守“第三方安全”准则:不得随意代替用户作决定或处理;不得以安全的名义,为厂商自己牟利;不得在安全领域,既当运动员,又是裁判员。
但 360 恰恰就在这些方面,完全违背了安全厂商的基本准则。当 360 安全卫士、360 安全浏览器植入用户电脑的时候,360 便通过它们在用户知情或不知情的情况下,直接代替用户做决定,完成各种动作。
“这样的产品在市场上将是无敌的。”瞬雨举例说,“一场拳击赛,A方只可以以拳击打对方的有效部位,但B方却可以手脚并用,并可以攻击你的下三路,那A方必输无疑。”
这是 360 致胜的法宝。
而在掠夺市场的过程中,360 安全卫士、360 浏览器恰是一对并蒂的“恶之花”。
商业篇之一·生意经
360 生意经:圈地运动与癌性扩张
每经记者秦俑
近日,百度要求凤巢(百度搜索营销管理平台)用户安装安全插件,以检验浏览器的安全性。而 360 以用户名义,给予这个插件以 “网友差评”标签,并通过其系统,认定该插件为“偷拍插件”。然后,在 360 安全卫士的“清理插件”功能下,直接诱导和恐吓用户卸载该插件。
360 凭什么将百度这个插件定义为“偷拍插件”?凭什么要用户卸载?事实上,全球其他所有浏览器均对上述插件无异议。
独立调查员向《每日经济新闻》记者分析说,360 软件 (含互联网服务)产品,涵盖安全防护(安全卫士、手机卫士、杀毒等)、操作环境(浏览器、桌面、软件管家等)、工具软件(五花八门)、游戏平台、导航搜索 和电商网站等,“如果把电脑系统比作软件产品的运动场,从安全角度看,安全防护产品是裁判员,其他产品则是运动员”。
很显然,360 兼具裁判员、运动员双重身份。
做为裁判员,360 能否公平对待同场竞争的运动员(竞争对手)和看台观众(用户),是人们判断其价值最关键、也是最重要的因素。
“我们无法想象,微软会通过 Windows 产品不断提示用户 IE 才是安全的浏览器、借网民的名义指控 Google 搜索是钓鱼网银的帮凶、腾讯电脑管家是最差的安全防护产品;我们无法想象,微软通过 Windows 产品把用户安装的所有浏览器的默认首页都强行设定为自身的官方网站;我们无法想象,微软会通过 Windows 产品向全球电脑秘密下达卸载 Chrome 浏览器的指令;我们无法想象,微软 Bing 搜索引擎盗用 Google 搜索引擎的结果数据。”独立调查员说,“是的,善良的人们无法想象,更无法接受这一切,有社会责任感的企业公民对此都会嗤之以鼻——‘我们绝不这么 干!’”
独立调查员认为,360 有两条“成功密钥”,第一,是以“民事诉讼 8 连败”为代表的发展模式:先踩法律底线,以求先发展——在中国,360 钻了品牌与道德成本太低的空子;第二,就是以安全和免费名义 “绑架”用户,然后以安全裁判员的身份,展开“竞争”。
以“永久免费”为口号,360 安全卫士及其关联产品很快占据较高市场份额。
“电脑安全性评分”是 360 安全卫士最重要的基础性功能。360 安全卫士会自动扫描客户端所在系统的“安全隐患”,不符合 360“安全标准”要求的就扣分,但评分标准和权重并不公开。
比如全新安装的 Windows 7,在开启自动更新、尚未安装任何第三方软件前,360 安全卫士对其安全评估结果竟是 0 分 (满分 100 分)。这个 0 分意味着什么?Windows 真的很不安全?实际测试发现,根据其安全警示清单一项一项 “优化或修复”后,评分逐步增加,但始终处于低位、不到 60 分,直到“优化浏览器”并“锁定首页”后,安全性评分迅速接近满分!事实上,所谓“优化浏览器”就是“安装 360 浏览器并设定为默认浏览器”,“锁定首页”就是“修改首页为 360 导航”。
需要修复的项目还有 (不限于):卸载“差评插件”百度浏览器工具栏、优化 IE (实为篡改 IE 的首页、标签页、默认搜索引擎为 360 的有关服务)、删除收藏夹中对手的项目(百度、腾讯、谷歌等)等等。
360 安全卫士甚至曾伪装成微软 Windows 补丁安装程序 KB360018,以“IE6 内核升级”的名义欺骗用户安装 360 浏览器。国外权威技术网站 SystemExplorer 已将 360 的这个假冒微软系统补丁文件定为“100% 安全威胁”,从而使后者遭遇微软调查。
尤其是 360 安全卫士在评分后的“一键修复”功能,更是其占领市场的利器。其借助傻瓜式的“一键修复”,导致用户在电脑上用什么、不用什么,都由 360 安全卫士说了算,至于是否都与安全性有关,一般用户自然看不出门道,相反还会对 360 的这些“强奸”行为“感恩戴德”——这些用户原本连安装或卸载软件的操作都不熟练,而 360 安全卫士就是一台“傻瓜相机”。
事实上,360 安全卫士不只是一台“傻瓜相机”,其云安全数据中心动态控制着一切,可以根据 360 自身需要更改其软件资料库、评分标准和权重,随时准备向对手发起“云查杀”以保护自身利益。
独立调查员向 《每日经济新闻》记者分析说,360 的发展路径,即从 360 软件产品底层技术构架开始,埋下不同于所有互联网公司发展的“癌变基因”,然后,此“癌变基因”通过浸润,向操作环境领域发展,再向工具软件、游戏平台发 展,最终进入真正的互联网领域——导航、搜索、电商网站,以及电商网银体系等。
360 绿色网站的安全谎言:“偷梁换柱”浸润电商网银安全体系/
2 月 6 日,360 官网上一条 “网购首选,3 亿用户的共同选择”的广告悄然上线。打开这条广告链接,以“网购安全”为主题的新款“360 安全浏览器”赫然在目。
据《每日经济新闻》记者获得的 360 内部信息,360 将借今年的“3·15”活动,大力推动与国内电商企业的合作,以将 360 安全浏览器植入电商领域。这则推广广告,正是这一步骤的前奏曲。
据记者调查,360 两年前开始布局电子商务安全领域,其最先打出的 “安全产品”是 “网银无忧”、“地址栏铭牌”,即 360 浏览器主推的“绿色网站认证”。
360 向人们传递的信息是,“360 绿色网站认证”可以确保用户使用网银以及电子商务交易安全。
众所周知,电子商务的交易安全,尤其是网银,一直是网民、乃至整个社会焦点关注的问题之一。欧美、日本等国家的网银安全体系非常复杂与发达,而国内的网银体系,也是在小心设想、小心求证的前提下,一步步地展开。
那么,360 是否真的具备这个能力——取代网银服务提供者身份验证体系,由自身来充当网银“保镖”呢?
独立调查员怀疑 360 公司是否具备这个能力。于是,他进行了如下实验,以了解 360 绿色网站认证机制:
在本机模拟,将招行网银域名劫持到 IP 为 50.63.127.126(xliar.com)的网站,并在目标服务器上构建相应目录体系和登录页文件,然后使用 360 安全浏览器访问招行大众版登录页,从而进入伪装的招行网银页面。
360 网购保镖自动检测招行运行环境,几秒钟后完成检测,报告“本次检测未发现风险,现在可以放心网购了!”
此时浏览器地址栏铭牌显示为“招商银行”,点击后弹出“通过绿色网站认证”,披着“招行网银”外衣的劫持网址,即被 360 认证为招行官方网站。
而同样的操作,使用 IE 浏览器访问时,IE 浏览器地址栏则会以非常显眼的方式告知用户“(网站数字)证书错误”,点击错误信息可知,该网站证书不属于招商银行网站。
事实上,用国际主流的浏览器均会弹出类似的错误提醒警示,用户收到信息后自然会停止交易、避免损失。
这意味着,如果一家诈骗网站通过域名劫持招商银行网站,所谓的“360 绿色网站认证”并不能有效执行网银保镖的辨识功能,进行安全认证。
360 安全浏览器的安全检查能力为什么会如此之低呢?
据 《每日经济新闻》记者了解,目前国际主流的认证机构为 VeriSign,包括中国工商银行、中国建设银行、中国银行、中国农业银行均采用该机构认证。招商银行网页所显示的,也正是该机构的认证,这也作为网上银行安全的基本保证而得到公认。
而独立调查员演示的证据显示,360 浏览器直接屏蔽认证机构 VeriSign 基于加密体系的可信认证,将其替换成了 360 绿色网站认证。
独立调查员提醒网购者,应信任银行网站自身的安全证书,并在整个交易过程中关注地址栏域名和安全证书中的域名是否一致,以及其根域名是否与官方域名一致,切勿轻易信任和依赖 360 的“绿色网站认证”。
独立调查员认为,这又是另一起 360“破坏性创新”的典型案例:“一点技术含量也没有的网站身份认证,竟然可以公然取代国际上通行的网上银行安全认证体系。这就是 360 的非创新型破坏。”
然而,对于类似公然挑衅国际准则的行为,为什么监管部门可以坐视不管呢?
可以预想的是,一旦 360 大规模启动“各大电商推荐安全购物使用 360 浏览器”活动,人们的网上购物均要依赖于 “360 绿色网站认证”,360 收获的将是又一次 360 式“癌性扩张”,而中国的网银体系又将会面临怎样的可怕变局?
移动圈地:“非创新型”破坏或止步于苹果?/
在 360 的 2012 年年会上,360 董事长周鸿?对员工指出:“我认为未来两年将决定整个无线互联网的市场格局……在过去的一年,360 手机卫士用户量突破 2 亿,360 手机助手的用户量也突破了 1 亿,成为 360 在无线互联网上的两个支柱。但两根柱子支撑不了一个房子,我希望各个团队在 2013 年会有新的产品能够脱颖而出,包括很多 PC 的产品也可以寻找在无线上的发展机会。很简单,未来不会再有无线互联网公司了,因为每个公司都必须是基于无线互联网的;也不会有 PC 产品部、无线产品部的区分,因为以后所有产品都会在 PC 和移动终端上打通,而没有无线互联网策略和产品的公司将会被淘汰。”
这段讲话基本上代表了 360 近期在移动端发展与布局的方向。
在移动端,360 是否会重复使用“癌性扩张”的方式来圈地呢?
《每日经济新闻》记者在调查中发现,无论是微博还是公开的论坛,皆有不少用户曝光了 360 的一些“作恶”行为,大多包括以下内容:在智能手机通过 USB 接入电脑充电或同步数据时,360 弹出手机助手的提示,不经意中安装 360 的其他产品,甚至装上 360 的产品之后,其他非 360 的应用会莫名其妙地“被卸载”。
这也意味着,在移动端的圈地运动中,360 依然在复制其 PC 领域的“癌式扩张”做法:除了做安全产品外,自身同时开发了全系列的手机软件,然后重新演绎一遍其在 PC 端的玩法。
据《每日经济新闻》记者掌握的一份来自某互联网工程师的爆料,包括 360 手机卫士、360 手机通讯录、360 手机浏览器等系列产品存在明文上传用户隐私数据。上述爆料人提供的证据指出,在机场、咖啡厅,手机用户使用 WiFi 上网时,只要登录 360 手机卫士及 360 手机通讯录,或者进行云备份或云恢复,用户名(手机号)、手机 IMEI 码和密码等高度敏感信息就会通过请求网址明文传输,有了这些身份鉴别信息,可以使用任何浏览器从 360 通讯录服务器 tongxunlu.360.cn 的非安全通道直接下载用户云备份的通讯录等隐私。
这也意味着第三方可以轻松窃取 360 用户登录各个网站的密码 MD5 信息和手机号,进而可以获取用户包括短信、彩信、通讯录、通讯记录等所有相关隐私数据,而且还可以篡改并进行钓鱼。
对此,独立调查员进行了相应复检,发现含高度敏感信息的请求网址的参数部分,仅以 BASE64 编码(可简单解码,与明文无异),而用户密码虽然经过 MD5 加密、但是可直接用于登录,且对客户端合法性没有任何校验。独立调查员向《每日经济新闻》记者说,请求网址极易被非法拦截,在网址中明文夹带传输高度敏感 信息,以及使用非安全通道下载用户隐私数据,等于把手机用户隐私暴露在阳光下。
这一现状,与当年 360 安全卫士起家时如出一辙。
据《每日经济新闻》记者所掌握的证据,国内有多家公司与个人,对 360 这方面的“不规距”行为进行了技术论证与法律取证。但这一切,似乎并不能动摇 360 在此领域的扩张。
不过目前,似乎有了一些改变。
1 月 25 日,iOS 平台上,360 旗下 360 手机卫士、360 浏览器等一些应用突然被苹果应用商店下架,一时在国内引起巨大反响。
360 产品被苹果下架,这已不是第一次。2012 年 2 月 6 日,360 旗下包括 360 手机卫士、360 口信、360 浏览器 HD、360 电池医生、360 安全备份、360 团购 HD 等系列产品均被苹果应用商店下架。
随后,有专业分析师就曾公开表示,通过研究 360 相关应用的代码发现,至少 360 手机卫士和电池医生两款应用存在各种侵犯用户隐私的行为,主要包括:非法读取用户 iPhone 上的应用信息、非法阅览用户的照片和音乐文件夹,而 iOS 版 360 手机卫士部分代码还显示,360 正在获取系统进程资源信息,而上述行为均为苹果应用商店严禁的违规行为。
而这一次下架的原因又是什么呢?
据 360 的官方说法,此次下架,与 360 手机卫士企业版测试时违反了苹果相应规则有关——360 尝试为中国境内企业用户提供 “骚扰电话拦截”和“来电归属地显示”等功能。
外界对此也猜测不一:第一,猜测认为,360 的多个应用涉嫌调用苹果私有 API,以获取更高权限,而苹果明令禁止这一点;第二,涉嫌刷榜,影响在苹果应用商店的排名;第三,360 多次使用企业证书对外发布公测版本;第四,多款应用涉嫌自建下载渠道,为用户提供越狱版本。而 360 的这一切动作,都是对现行互联网游戏规则的明显侵犯。
IDF 互联网情报威慑防御实验室创始人万涛对此认为,最大的可能是,360 在将其代替用户直接进行操作的“非创新型破坏”,从底层数据向上延展,最终到达应用层时遭到苹果的阻击,比如苹果严厉禁止调用私有 API,但 360 手机卫士企业版测试却对外开放了私有 API 的下载链接。又如,苹果对用户隐私信息的保护非常严厉,而 360 在这方面触及规则,这非常容易触怒苹果;
《每日经济新闻》记者调查发现,去年 iOS 版 360 手机助手上线时,其产品分为手机客户端版和 PC 客户端版,其 PC 客户端版可以直接绕过苹果应用商店为用户提供下载链接,这也意味着 360 利用用户数量进行平台化,蚕食苹果市场收益。
业内专业人士管鹏则透露了另一个细节,前段时间传“快用”与 360 合作,将快用的技术接入 360 手机浏览器中。“快用”有一项核心技术 “ipa2exe”,这一技术允许 iOS 开发者把自己的应用与快用的仿 iTunes 程序打包在一起,使用户可以像下载普通的 PC 软件一样下载 iOS 应用, 并在 PC 上一键安装进自己的苹果设备——这已经和越狱市场没有区别了,“或许,这也是 360 下架的重要原因”。
商业篇之二·V3 升级机制
360 制胜“秘籍”:神秘的 V3 升级机制
每经记者秦俑
据掌握 360 核心机密的一位 360 前员工披露,360 正在谋划递归 DNS 的推出,而要大面积推广递归 DNS,将走 360 特殊的通道:V3 升级机制通道。
这位前员工解释说,DNS 是域名系统 (DomainNameSystem)的缩写,是因特网的一项核心服务。简单地说,人们一般记不住 IP 地址,但人们能够记住域名,DNS 就是将人们能够记住的域名转化成机器使用的 IP 地址的服务。
DNS 又有授权 DNS 与递归 DNS 之分。授权 DNS,是指域名所有者(或其指定的管理者)指定的域名解析服务器,该服务器存储该域名的原始 IP 设置,并提供查询服务。而递归 DNS 则复杂些:为客户机提供域名查询的 DNS 服务器——如果该服务器本身不能解析客户请求查询的域名,则根据一定规则转发查询请求给其他服务器,直到获得 IP 为止。360 要做递归 DNS,即是说:客户机不要请求运营商或企业的 DNS 服务器解析了,都交给 360 的 DNS 服务器解析好了。
接下来的问题在于,在递归过程中,360 最终给的 IP 地址是否就是用户请求的呢?为什么 360 就不会劫持 IP 地址呢?去年,独立调查员就在微博上就此提出质疑。他的理由是:DNS 劫持现象严重,从小运营商到大运营商都在公开或私下干这种事。独立调查员举例说,如用户提出百度搜索请求,但 360 递归 DNS 给的是 so.360.com 的 IP 地址,为什么不会呢?
《每日经济新闻》记者掌握的进一步情况是:360 在技术上已完全做好了准备,至于推广方式,目前还不能披露,但其核心手段就是“瞒天过海,暗度陈仓”。而整体实施,正是通过 360 的 V3 升级机制。
《每日经济新闻》记者通过数月的调查,终于揭开了所谓的 V3 机制的神秘面纱。
任何一个公司的软件,在下载时,都必须基于用户的意愿。程序不能代替用户自动下载软件。即使是微软的 Windows 软件,其升级或上线时,也是在微软公司的提示下,用户同意后,方可升级或上线。
在这方面,用户具有知情权、同意权。任何剥夺或变相剥夺用户这两个权利的下载,都是违法的。对一些特别清晰而简单的下载或升级或优化,也可以通过“一键优化”或“一键修复”等来实施。
但 360 多年来并非依此执行。一方面,360 通过“一键优化”或“一键修复”,绕过用户的一步步审核,要么将竞争对手的软件给优化掉,要么就是在下载中夹带“私货”,将其最想推广的软件悄悄直接代替用户下载了。
另一方面,360 甚至不需要用户的“一键优化”等,在暗中直接给用户的电脑(或手机)下载其推广的软件。这也就是业内人最为痛恨的“静默安装”,“静默升级”等。
据《每日经济新闻》记者调查,一键优化,是通过 360 安全卫士,即通过客户端执行;“静默安装”,则是直接通过云服务器发布指令执行的。而“V3 升级”即是 360 产品线最重要的捆绑安装渠道。
V3 机制,最主要的推广“母体”是 360 安全卫士与 360 浏览器,而这两者间,又有分工与交叉,相互配合,其中的关系非常复杂。为遮人耳目,V3 通道并不是常规的路径,而是在重要的“必须产品”推广中才会实施。通过这一路径,可以一下子将产品全面铺开,实现最大的安装量。而当 360 的主体产品拥有的用户基数越来越高的时候,这样的推广作用也变得更有成效。
从关系示意图(如图)可以看到,V3 由 360 高层决策层下达指令,360 安全数据中心启动,并通过后门机制,将指令性信息传达给用户电脑中安装的 360 安全卫士,主要指令为产品推广、删除竞争对手产品、新配置数据等;360 安全卫士在用户 Windows 系统中,直接执行安装、更改、卸载;然后, 通过后门机制,将信息反馈给 360 云安全数据中心,该中心再将信息收集、汇总统计后,上传给决策层。
在 360,除产品、技术之外的员工,对 V3 机制知之甚少。即使是核心员工,也并非知道其中的全部路径。而要申请使用这一通道,更是需要非常复杂的申请手续,甚至据称,最终的拍板决定权,也仅在周 鸿?一人手中。即使在总裁齐向东已批准同意的情况下,最终仍需经过周鸿?的批准。
业内一位著名互联网专家称,“多年来,360 几乎就是战无不胜,其中,人们过多地放大了 360 产品的能力,以及 360 的流氓特性能力。V3 才是 360 战无不胜的法宝。如果工信部要管,就把 360 的 V3 升级禁止了,360 就立刻死定了。”
商业篇之三·用户自卫
360 产品频遭卸载令背后:个人隐私自卫意识在觉醒
每经记者秦俑
《每日经济新闻》记者通过调查发现,360 相关产品被苹果下架事件,绝非偶然,背后既有特殊的原因,也有必然的结果,更有不断成为常态的趋势。
有越来越多的人意识到,粗暴侵犯用户权益,粗暴破坏行业规则,损害企业基本权益,会给整个行业带来“生,还是死”的危害。而这两个粗暴的“癌性基因”之变的核心,就是违背了全球公认的互联网江湖的基本准则。
长此以往,“创新型破坏”这一癌变会益发严重,最终,中国互联网会因此死亡。这才是最可怕的。
来自官方的“SayNo”
其实,最早对 360 说“NO”的是人民法院,在 360 历时八年的发展过程中,与企业间有八场民事诉讼,法院给予的回答是:“八连败!”在法律上,360 的行为被严厉拒绝。
最近以来,政府相关部门也对 360 接连亮起“黄牌”:国家版权局在去年 12 月 28 日首次表态,称 360 搜索要抓取百度内容需要获得百度授权,提供百度网页快照不适用“避风港原则”,要求 360 进行整改,将视 360 的整改情况再采取进一步的管理措施。
根据《每日经济新闻》记者了解,介入 360 安全问题管理的政府部门范围还将进一步扩大。据知情人士透露,国家版权局近期将在其行政处罚会议上责令 360 停止侵权,并进行整改。
1 月 24 日,北京市工商局对外发布消息:北京市工商局、北京市工商局西城分局共同约见了北京奇虎科技有限公司(以下简称奇虎公司)负责人,对其利用“360 安全卫士”在浏览器领域实施不正当竞争行为予以行政告诫。
1 月 30 日,国家工商行政管理总局在其官方网站首次披露了对 360 给予行政告诫的具体原因:奇虎 360 利用垄断市场优势,通过不兼容、难卸载等方式阻止网民安装其他软件;还用推荐诱导、默认同步安装甚至伪装成微软官方补丁等方式,将其旗下的 360 浏览器、360 网址导航等产品强行安装至网民电脑中,通过默认设置、强制升级等方式修改用户浏览器和主页设置。
拒绝“360 浏览器”:一场“斯大林格勒保卫战”/
2 月 17 日晚间,百度通过官方特服对所有的凤巢客户发了一条短信:“为保障客户的账号与资金安全,基于试运行的良好效果,百度安全控件将于 18 日起正式推广使用。”这意味着,百度“凤巢”系统自 18 日开始,将在百度客户体系中,直接、全面封杀 360 浏览器。
此事还需回溯至今年 1 月 28 日,当时百度凤巢开始试运行封杀 360 浏览器,遭到 360 强烈反击,但百度认为,“‘凤巢’系统安全升级后提示用户弃用 360 浏览器,是因为之前多次接到过客户反映,使用 360 浏览器时会出现数据及信息丢失的情况”,即表示 360 浏览器不安全。
业内专家认为,浏览器是网站的运行环境,基于兼容性、用户体验或安全性等因素,网站并无义务保证或允许用户使用所有浏览器,用户需遵守网站的有 关使用规定(包括但不限于浏览器种类、操作系统平台、显示器分辨率等限制),“正如某些网上银行系统不支持 FireFox 一样,FireFox 产品提供者无权指责银行。”
在百度宣布打击正式实施的前一天,有“黑客教父”之称的安全技术专家万涛评论说:“从企业权益上来说,百度对于一个相对的内部业务系统限定浏览 器并没有特别大的问题,正如银行网银大多只支持 IE 浏览器一样。这是度娘的‘斯大林格勒’保卫战!也说明双方的博弈从普通网友延伸到了百万站长社群。”
据来自百度内部的绝密消息:“这仅是一个开始,百度将会有更严厉的手段。”而另一位百度高层更是向《每日经济新闻》记者透露,百度未来的主要战略为一静一动,动静结合,以静制动。具体的策略则不便对外透露。
“从整体上说,360 会陷入一场持久而消耗性的战争。”互联网知名评论家管鹏认为,“这场战争最重要的意义在于,从 360 诞生以来的所有战争, 都是 360 主动性进攻,且结果都是以被进攻者被动或失败而告终。而凤巢的反击,则是被攻击者的有序、主动性的反击。其意义特别深远。”
作为自主行为,企业直接拒绝 360 的声音,已越来越多。网易是其中一家引起较大反响的公司,该公司去年内部要求禁用 360 产品;同样在去年的 12 月 6 日,中国最大钢铁巨头宝钢警告:12 万员工必须卸载 360。此前亦有媒体报道称,招商银行总行大厦系统管理员在 2010 年 12 月 9 日就通过内部邮件的形式要求各部门卸载 360 安全卫士以及系列软件。
另一件值得关注的,是被披露的 360 浏览器偷赚网购佣金事件。
据媒体披露,其主要方式是用户在 360 浏览器中购买商品时,即便不是从淘宝客的链接点击进入,也可能产生佣金并流入一些 ID 的口袋中,这些 ID 号均指向了“上海奇泰”淘宝客。
360 上市时的招股说明书显示,“上海奇泰网络科技有限公司”与奇虎 360 公司存在关联关系,奇泰还与 360 的 100% 控股公司奇智软件 (北京)有限公司存在着合约协议关系。
事实上,劫持淘宝客佣金一事,并不是外界首次对 360 非法获取收入提出质疑,金山网络 CEO 傅盛就曾在微博爆料,直指 360 财报中 10 亿收入来自电商,其实是用户通过 360 浏览器购买 100 元商品抽成 10 元。
堂吉诃德:那些走在最前端的程序“猿”们/
对许多黑客的采访,不能亮出他们的身份,而网络上公开的“独立调查员”,其实只见其人,不知其真名。他不想公开自己的身份影响平静生活,只想做一些正确的事情。
《每日经济新闻》记者约其采访,几乎周旋了一个月;为确定采访地点,周旋了两天。第一次采访,访谈了 6 个小时。而后来的工作中,最辛苦的是连续 4 天 4 夜,独立调查员加起来只睡了大约 12 个小时。
从整个调查来看,“独立调查员”是典型的程序员思维,比较“轴”,一根筋。但思维极其敏捷。
为什么要花这么长时间研究 360?为什么对 360 有如此深厚的“隔阂”。《每日经济新闻》记者的提问,抛给了许多堂吉诃德式的程序“猿”们。
他们的回答,却是惊人地一致:360 的“两个粗暴”,是中国互联网的“毒瘤”,不除“毒瘤”,中国互联网必死。而这个“除”,并非就是消灭 360,而是希望 360 能够“立地成佛”。
虽然,他们知道,他们的努力,就是堂吉诃德式的,但必须有人去做。
1 月 13 日,独立调查员发出微博,“360 浏览器识别方法与程序设计”。
由于害怕对手封杀,360 的浏览器产品都删除了身份标识(UserAgent),一直冒充其内核对应的浏览器 (InternetExplorer 或 Chrome)。同时,360 浏览器却向特定网站提供准确的身份标识信息,包括 CNZZ (浏览器使用统计)、HTML5Test (HTML5 兼容性评分) 等网站,其他网站使用常规方法都无法准确识别。
发现这一秘密后,他经过研究,找到了破解的方法,做了一个 JS 网页脚本程序,并将代码在网上公开分享。据不完全统计,到 2 月 22 日,已有近 1000 个网站在使用这个程序。“其中,有相当一部分是淘宝客网站”。
值得关注的,还有万涛,其创立的 IDF 实验室,在多个地方就以安全的反复实验数据,论证了独立调查员的多项调查结果;人大计算机系主任石文昌公开以专家的身份证明独立调查员的一些重要的调查结 果;北大电子政务研究院副院长杨明刚(网名“杨明刚 PKU”)也公开支持独立调查员。更有一大批网民直接出面声援独立调查员。
另一位程序“猿”为瞬雨,其写过许多解剖 360 的文字,成为这一领域的前行者。
最终结果会怎样?独立调查员淡然一笑:念念不忘,必有回响。
相关链接
寻找已模糊了的良心
——两位神秘人物的对话节选(因可以理解的原因,以A、B为代号):
A:你知道你的电脑里有一根来自 360 的泄污管吗?V3 通道!
B:不知道这事。
A:什么叫强奸?违背意志,强行插入,并且排射污物!这就是 360 的一贯行为。
B:“泄污管”有具体所指吗?
A:我就是指这个 V3 升级模块。说来话长,最早这个 V3 升级代码还是从外面买来的,分为服务器端,客户端两部分。
B:大概估得到,但没具体研究。
A:360 一般程序员都没有 V3 代码的可读权限,出了问题不能用查代码的方式解决,只能 HOOK 自己的程序跟踪。NB 吧,对自己人都防守得如此严密。
B:心想反正他们流氓推广不是一两桩。
A:这个代码只有卫士的人有。
B:还能这样?公司内部还玩黑匣子啊。
A:是啊,你就可想而知,这个代码对 360 有多重要了。而且,V3 升级这个 360 内部的名词一旦被曝光出来,将极大地震撼 360 的内部员工。
B:内部就叫“V3 升级”?
A:是的,内部就叫 V3 升级模块。比如,说这个版本通过 V3 下去。对付这个流氓公司,需要有无数无名英雄的付出,也需要有冲锋陷阵的先锋。
B:你、我,都是无名战士。说白了就是替天行道。
A:是啊,我觉得中国社会,怎么就没有侠客了呢。以前对付贪官恶霸,多少侠义之士出手啊。一个人的能力都是微小的,但能结成联盟,取长补短,那就会威力大增。
B:我们一做什么,就会有人说,是收了什么好处……
A:我们是收了好处,就是收到了自己的良心。这是天大的好处。没有良心的人,我看就是鬼。
B:Y。