中科院報(bào)告：360產(chǎn)品存在三大隱私安全問(wèn)題

金屬風(fēng)暴

360瀏覽器侵犯用戶隱私話題再次引人關(guān)注。據(jù)《上海青年報(bào)》11月23日?qǐng)?bào)道，中國(guó)科學(xué)院信息工程研究所主辦的“隱私保護(hù)”學(xué)術(shù)研討會(huì)在京召開(kāi)。會(huì)上一份由中科院保密技術(shù)攻防重點(diǎn)實(shí)驗(yàn)室研究撰寫(xiě)的《個(gè)人隱私泄露風(fēng)險(xiǎn)的技術(shù)研究報(bào)告》報(bào)告揭示：一直以安全為名的360瀏覽器在架構(gòu)設(shè)計(jì)、運(yùn)作原理方面竟然存在著三大隱私安全問(wèn)題，將會(huì)給用戶安全帶來(lái)嚴(yán)重危害。

　　“這將會(huì)給用戶安全帶來(lái)嚴(yán)重危害”，《上海青年報(bào)》援引一位與會(huì)專家觀點(diǎn)稱。

　　此前，工信部曾公開(kāi)宣布將對(duì)360安全問(wèn)題展開(kāi)調(diào)查，但目前尚沒(méi)有權(quán)威機(jī)構(gòu)出臺(tái)令人信服的調(diào)查結(jié)果。中科院作為信息研究的專業(yè)機(jī)構(gòu)，此次所出具的該項(xiàng)報(bào)告，或?qū)⒊蔀橥苿?dòng)該問(wèn)題解決的重要依據(jù)。

　　《上海青年報(bào)》還從會(huì)上獲悉，中科院針對(duì)當(dāng)前互聯(lián)網(wǎng)常用產(chǎn)品及服務(wù)的隱私保護(hù)問(wèn)題進(jìn)行了整體研究，涉及瀏覽器、即時(shí)通訊、電子商務(wù)、社區(qū)網(wǎng)站等多個(gè)類別。從記者輾轉(zhuǎn)獲得的報(bào)告原文來(lái)看，在瀏覽器隱私保護(hù)情況的研究章節(jié)里，中科院信息工程研究所研究人員對(duì)360安全瀏覽器進(jìn)行了詳細(xì)的研究和分析，并歸納列舉出360安全瀏覽器存在的三大安全問(wèn)題，其中包括： 收集用戶所打開(kāi)過(guò)的瀏覽頁(yè)面地址、收集用戶在瀏覽器地址欄輸入的信息以及預(yù)留后臺(tái)端口，在用戶不知情的情況利用云端指令，在后臺(tái)執(zhí)行《安裝許可協(xié)議》規(guī)定內(nèi)容之外的功能等。

　　調(diào)查中，研究人員通過(guò)專業(yè)技術(shù)手段對(duì)整個(gè)軟件運(yùn)行過(guò)程及環(huán)境進(jìn)行了綜合測(cè)試，證實(shí)了360確實(shí)存在安全問(wèn)題，并在實(shí)驗(yàn)室進(jìn)行了多次復(fù)現(xiàn)。研究人員在報(bào)告中舉例稱，當(dāng)用戶在360安全瀏覽器地址欄中輸入一個(gè)完整的網(wǎng)址時(shí)，360瀏覽器會(huì)向360公司的特定服務(wù)器依次發(fā)送用戶的每一次輸入數(shù)據(jù)直至輸入完成，發(fā)送的信息包含了能夠確定用戶唯一性的ID，這可能會(huì)導(dǎo)致特定用戶的地址欄輸入以及瀏覽記錄容易被跟蹤和泄漏。另有分析顯示，“這些組件或以欺騙的方式被下載到電腦以實(shí)現(xiàn)360安全瀏覽器的某些未明示的功能，也可能造成用戶的電腦被惡意侵入”。

　　實(shí)際上，在過(guò)去數(shù)月，360安全軟件一直深陷安全及隱私泄漏漩渦，飽受來(lái)自網(wǎng)民、媒體、意見(jiàn)領(lǐng)袖和主管部門(mén)的質(zhì)疑。知名打假人士方舟子也就安全問(wèn)題對(duì)360軟件發(fā)出連番質(zhì)疑，指稱360私自竊取用戶隱私、偽裝系統(tǒng)補(bǔ)丁、捆綁安裝軟件以及360通過(guò)“云控制”遠(yuǎn)程操控用戶電腦等。盡管360方面并未正面回應(yīng)這些問(wèn)題和質(zhì)疑，僅僅將其歸為“競(jìng)爭(zhēng)對(duì)手迫害”，但層出不窮的真實(shí)案例，仍然引發(fā)大量用戶關(guān)注并卸載360，一些世界500強(qiáng)企業(yè)也內(nèi)部通知禁用360全系產(chǎn)品。根據(jù)CNZZ最新發(fā)布的數(shù)據(jù)，自方舟子開(kāi)始打假360以來(lái)， 360瀏覽器的市場(chǎng)份額下降了1.6%，保守估計(jì)流失用戶1000萬(wàn)。

　　面對(duì)沸沸揚(yáng)揚(yáng)的“360隱私泄露門(mén)”， 10月25日，工信部新聞發(fā)言人、通信發(fā)展司司長(zhǎng)張峰表示，工信部已經(jīng)介入調(diào)查方舟子指控的奇虎360瀏覽器竊取用戶隱私一事，“如果查實(shí)確有違法違規(guī)行為，將依法予以嚴(yán)肅處理”。360方面隨即宣布將主動(dòng)將產(chǎn)品送至國(guó)家質(zhì)檢總局和工信部檢驗(yàn)。

　　對(duì)于360的主動(dòng)“送檢”， 互聯(lián)網(wǎng)威懾防御(IDF)實(shí)驗(yàn)室創(chuàng)始人、安全專家萬(wàn)濤認(rèn)為作用不大。萬(wàn)濤指出，360使用的是云端控制技術(shù)，單檢測(cè)桌面軟件很難檢測(cè)到問(wèn)題，對(duì)整個(gè)過(guò)程與環(huán)境進(jìn)行檢測(cè)評(píng)估才能更好地說(shuō)明問(wèn)題。

　　中國(guó)人民大學(xué)教授石文昌曾表示，如果安全軟件不遵守軟件安全機(jī)制設(shè)計(jì)的重要原則之一 -- 最小特權(quán)原則(POLP，principle of least privilege)，而是利用特殊權(quán)限，進(jìn)行非功能實(shí)現(xiàn)所必須的操作，其對(duì)系統(tǒng)權(quán)限的濫用將影響到用戶系統(tǒng)的信息安全。

　　相關(guān)與會(huì)專家表示，“根據(jù)此次中科院的研究報(bào)告，和之前社會(huì)各界對(duì)360軟件安全性的質(zhì)疑，360公司以安全為名、行盜取泄漏用戶隱私之實(shí)的一系列行為，已經(jīng)嚴(yán)重違反了工信部2011年第20號(hào)令頒布并于2012年3月15日實(shí)施的《規(guī)范互聯(lián)網(wǎng)信息服務(wù)市場(chǎng)秩序若干規(guī)定》中的相應(yīng)條款”。

　　該《個(gè)人隱私泄露風(fēng)險(xiǎn)的技術(shù)研究報(bào)告》標(biāo)明“V1.0”，發(fā)布者為“中國(guó)科學(xué)院信息工程研究所保密技術(shù)攻防重點(diǎn)實(shí)驗(yàn)室”，發(fā)布時(shí)間是2012年11月。

　　以下為《個(gè)人隱私泄露風(fēng)險(xiǎn)的技術(shù)研究報(bào)告V1.0》的部分內(nèi)容：

　　前言

　　隨著國(guó)內(nèi)外個(gè)人隱私泄露事件的頻繁發(fā)生和對(duì)個(gè)人隱私保護(hù)的重視，人們?cè)絹?lái)越關(guān)注日常工作生活中計(jì)算機(jī)軟件、移動(dòng)終端以及高技術(shù)帶來(lái)的個(gè)人隱私問(wèn)題。中國(guó)科學(xué)院信息工程研究所保密技術(shù)攻防重點(diǎn)實(shí)驗(yàn)室對(duì)當(dāng)前常用軟件和終端產(chǎn)品的用戶隱私保護(hù)情況進(jìn)行了初步調(diào)查，通過(guò)實(shí)驗(yàn)研究發(fā)現(xiàn)了一些有關(guān)隱私保護(hù)存在的風(fēng)險(xiǎn)。本文主要從常用軟件、網(wǎng)絡(luò)服務(wù)、移動(dòng)終端以及聲光電磁等四個(gè)方面介紹了實(shí)驗(yàn)室的研究結(jié)果和發(fā)現(xiàn)。文中內(nèi)容注重實(shí)例研究和數(shù)據(jù)再現(xiàn)，希望引起有關(guān)部門(mén)對(duì)個(gè)人隱私相關(guān)問(wèn)題的關(guān)注。

　　本文得到了北京大學(xué)互聯(lián)網(wǎng)安全技術(shù)北京市重點(diǎn)實(shí)驗(yàn)室的幫助。

　　1 終端常用軟件與用戶隱私保護(hù)

　　1.1網(wǎng)絡(luò)瀏覽器

　　許多網(wǎng)絡(luò)瀏覽器為了增強(qiáng)用戶體驗(yàn)、提供個(gè)性化服務(wù)、發(fā)展定向廣告業(yè)務(wù)等目的，通常會(huì)在后臺(tái)收集用戶的網(wǎng)頁(yè)瀏覽記錄等個(gè)人信息上傳到服務(wù)器。然而許多收集用戶個(gè)人信息的行為是在用戶不知情的情況下進(jìn)行的，或者所收集的信息超出了軟件《安裝許可協(xié)議》中進(jìn)行了明確規(guī)定的范圍。

　　實(shí)驗(yàn)室以360安全瀏覽器當(dāng)前最新版本5.0為例，對(duì)瀏覽器的用戶隱私泄露問(wèn)題進(jìn)行了分析和研究，網(wǎng)絡(luò)瀏覽器中的隱私泄露威脅存在于以下幾個(gè)方面：

　　1)預(yù)留后門(mén)，植入代碼：一些瀏覽器在使用過(guò)程中會(huì)在用戶不知情的情況下在后臺(tái)執(zhí)行《安裝許可協(xié)議》規(guī)定內(nèi)容之外的功能，360安全瀏覽器在運(yùn)行過(guò)程中約每5分鐘與服務(wù)端進(jìn)行一次通信，并下載一個(gè)文件，如下圖所示，下載的文件為se.#/cloud/cset18.ini，但是從數(shù)據(jù)流可以看出該文件實(shí)際上是一個(gè)PE文件，文件頭中標(biāo)識(shí)的產(chǎn)品名稱為DataDll。

　　將該文件從數(shù)據(jù)流中提取出來(lái)得到一個(gè)dll文件，查看該文件的屬性，得到其文件說(shuō)明為“360安全瀏覽器 安全網(wǎng)銀”。

　　從該文件中提取到一段Base64編碼的文本信息：

　　W3N0XQ0KY291bnQ9Mg0KW3N0MV0NCmlkPTENCnVybD1odHRwOi8vd3d3L

　　經(jīng)過(guò)解碼后的內(nèi)容為：

　　[st]

　　count=2

　　[st1]

　　id=1

　　url=http://www.baidu.com/search/ressafe.html*

　　[st2]

　　id=2

　　url=http://verify.baidu.com/vcode?*

　　[traymsg]

　　staticsid=31

　　count = 1

　　url1=http://www.baidu.com/search/ressafe.html*

　　[main]

　　hkres2=1

　　cbc=1

　　[cbc]

　　urlcount=1

　　url1=http://www.baidu.com/search/ressafe.html*

　　cbccount=2

　　c1=BAIDUID

　　c2=BDUSS

　　由此可推測(cè)該DLL文件的功能與網(wǎng)銀無(wú)任何關(guān)系，而是跟搜索引擎百度相關(guān)可能是為了躲避Referer字段的檢查。這種行為雖然不涉及用戶隱私，但是具有欺騙性。

　　此外，360安全瀏覽器還會(huì)在用戶不知情的情況下定期從服務(wù)端下載和執(zhí)行一個(gè)名為“ExtSmartWiz.dll”的動(dòng)態(tài)鏈接庫(kù)。如果該動(dòng)態(tài)鏈接庫(kù)被植入惡意功能或者不法分子利用域名劫持等方法對(duì)瀏覽器下載的“ExtSmartWiz.dll”文件進(jìn)行惡意篡改，將會(huì)給用戶安全帶來(lái)嚴(yán)重危害。

　　2)收集用戶瀏覽記錄：很多瀏覽器會(huì)將用戶所打開(kāi)的頁(yè)面地址上傳到服務(wù)器，以分析用戶的個(gè)人愛(ài)好或者統(tǒng)計(jì)網(wǎng)站的受歡迎度，從而在瀏覽器首頁(yè)更好地為用戶推薦個(gè)性化內(nèi)容。這種行為也侵犯了用戶的隱私數(shù)據(jù)。下圖為當(dāng)用戶使用360安全瀏覽器5.0訪問(wèn)網(wǎng)頁(yè)的時(shí)候，每打開(kāi)一個(gè)網(wǎng)頁(yè)之后都會(huì)向360的特定服務(wù)器發(fā)送一個(gè)POST請(qǐng)求，內(nèi)容包含加密過(guò)的url信息。

　　3)收集瀏覽器地址欄輸入信息：當(dāng)用戶在瀏覽器地址欄中輸入網(wǎng)址的時(shí)候，很多瀏覽器為了幫助用戶自動(dòng)補(bǔ)全網(wǎng)址，會(huì)把用戶所輸入的內(nèi)容上傳到服務(wù)器來(lái)。下圖為當(dāng)用戶在360安全瀏覽器5.0的地址欄中輸入“10.105.240.57”時(shí)，瀏覽器會(huì)將該地址發(fā)送到sug.so.#，并且發(fā)送時(shí)附帶的Cookie中會(huì)帶有具有用戶唯一性標(biāo)志的guid值，這可能會(huì)導(dǎo)致特定用戶的地址欄輸入以及瀏覽記錄被跟蹤和泄漏。

　　當(dāng)用戶在360安全瀏覽器5.0的地址欄中輸入“weibo.com”的過(guò)程中，每輸入一個(gè)字符，瀏覽器就會(huì)向sug.so.#發(fā)送當(dāng)前瀏覽器地址欄中的內(nèi)容(即“w”、“we”、“wei”、“weib”、“weibo”、“weibo?！薄ⅰ皐eibo.c”、“weibo.co”、

.