【《財經》綜合報道】360瀏覽器侵犯用戶隱私話題再次引人關注。據《上海青年報》11月23日報道,中國科學院信息工程研究所主辦的“隱私保護”學術研討會在京召開。會上一份由中科院保密技術攻防重點實驗室研究撰寫的《個人隱私泄露風險的技術研究報告》報告揭示:一直以安全爲名的360瀏覽器在架構設計、運作原理方面 竟然存在着三大隱私安全問題,將會給用戶安全帶來嚴重危害。
“這將會給用戶安全帶來嚴重危害”,《上海青年報》援引一位與會專家觀點稱。
此前,工信部曾公開宣佈將對360安全問題展開調查,但目前尚沒有權威機構出臺令人信服的調查結果。中科院作爲信息研究的專業機構,此次所出具的該項報告,或將成爲推動該問題解決的重要依據。
《上海青年報》還從會上獲悉,中科院針對當前互聯網常用產品及服務的隱私保護問題進行了整體研究,涉及瀏覽器、即時通訊、電子商務、社區網站等 多個類別。從記者輾轉獲得的報告原文來看,在瀏覽器隱私保護情況的研究章節裏,中科院信息工程研究所研究人員對360安全瀏覽器進行了詳細的研究和分析, 並歸納列舉出360安全瀏覽器存在的三大安全問題,其中包括: 收集用戶所打開過的瀏覽頁面地址、收集用戶在瀏覽器地址欄輸入的信息以及預留後臺端口,在用戶不知情的情況利用雲端指令,在後臺執行《安裝許可協議》規定 內容之外的功能等。
調查中,研究人員通過專業技術手段對整個軟件運行過程及環境進行了綜合測試,證實了360確實存在安全問題,並在實驗室進行了多次復現。研究人 員在報告中舉例稱,當用戶在360安全瀏覽器地址欄中輸入一個完整的網址時,360瀏覽器會向360公司的特定服務器依次發送用戶的每一次輸入數據直至輸 入完成,發送的信息包含了能夠確定用戶唯一性的ID,這可能會導致特定用戶的地址欄輸入以及瀏覽記錄容易被跟蹤和泄漏。另有分析顯示,“這些組件或以欺騙 的方式被下載到電腦以實現360安全瀏覽器的某些未明示的功能,也可能造成用戶的電腦被惡意侵入”。
實際上,在過去數月,360安全軟件一直深陷安全及隱私泄漏漩渦,飽受來自網民、媒體、意見領袖和主管部門的質疑。知名打假人士方舟子也 就安全問題對360軟件發出連番質疑,指稱360私自竊取用戶隱私、僞裝系統補丁、捆綁安裝軟件以及360通過“雲控制”遠程操控用戶電腦等。儘管360 方面並未正面迴應這些問題和質疑,僅僅將其歸爲“競爭對手迫害”,但層出不窮的真實案例,仍然引發大量用戶關注並卸載360,一些世界500強企業也內部 通知禁用360全系產品。根據CNZZ最新發布的數據,自方舟子開始打假360以來, 360瀏覽器的市場份額下降了1.6%,保守估計流失用戶1000萬。
面對沸沸揚揚的“360隱私泄露門”, 10月25日,工信部新聞發言人、通信發展司司長張峯表示,工信部已經介入調查方舟子指控的奇虎360瀏覽器竊取用戶隱私一事,“如果查實確有違法違規行 爲,將依法予以嚴肅處理”。360方面隨即宣佈將主動將產品送至國家質檢總局和工信部檢驗。
對於360的主動“送檢”, 互聯網威懾防禦(IDF)實驗室創始人、安全專家萬濤認爲作用不大。萬濤指出,360使用的是雲端控制技術,單檢測桌面軟件很難檢測到問題,對整個過程與環境進行檢測評估才能更好地說明問題。
中國人民大學教授石文昌曾表示,如果安全軟件不遵守軟件安全機制設計的重要原則之一 -- 最小特權原則(POLP,principle of least privilege),而是利用特殊權限,進行非功能實現所必須的操作,其對系統權限的濫用將影響到用戶系統的信息安全。
相關與會專家表示,“根據此次中科院的研究報告,和之前社會各界對360軟件安全性的質疑,360公司以安全爲名、行盜取泄漏用戶隱私之實的一 系列行爲,已經嚴重違反了工信部2011年第20號令頒佈並於2012年3月15日實施的《規範互聯網信息服務市場秩序若干規定》中的相應條款”。
該《個人隱私泄露風險的技術研究報告》標明“V1.0”,發佈者爲“中國科學院信息工程研究所保密技術攻防重點實驗室”,發佈時間是2012年11月。
以下爲《個人隱私泄露風險的技術研究報告V1.0》的部分內容:
前言
隨着國內外個人隱私泄露事件的頻繁發生和對個人隱私保護的重視,人們越來越關注日常工作生活中計算機軟件、移動終端以及高技術帶來的個人隱私問 題。中國科學院信息工程研究所保密技術攻防重點實驗室對當前常用軟件和終端產品的用戶隱私保護情況進行了初步調查,通過實驗研究發現了一些有關隱私保護存 在的風險。本文主要從常用軟件、網絡服務、移動終端以及聲光電磁等四個方面介紹了實驗室的研究結果和發現。文中內容注重實例研究和數據再現,希望引起有關 部門對個人隱私相關問題的關注。
本文得到了北京大學互聯網安全技術北京市重點實驗室的幫助。
1 終端常用軟件與用戶隱私保護
1.1網絡瀏覽器
許多網絡瀏覽器爲了增強用戶體驗、提供個性化服務、發展定向廣告業務等目的,通常會在後臺收集用戶的網頁瀏覽記錄等個人信息上傳到服務器。然而 許多收集用戶個人信息的行爲是在用戶不知情的情況下進行的,或者所收集的信息超出了軟件《安裝許可協議》中進行了明確規定的範圍。
實驗室以360安全瀏覽器當前最新版本5.0爲例,對瀏覽器的用戶隱私泄露問題進行了分析和研究,網絡瀏覽器中的隱私泄露威脅存在於以下幾個方面:
1)預留後門,植入代碼:一些瀏覽器在使用過程中會在用戶不知情的情況下在後臺執行《安裝許可協議》規定內容之外的功能,360安全瀏覽器在運 行過程中約每5分鐘與服務端進行一次通信,並下載一個文件,如下圖所示,下載的文件爲se.360.cn/cloud/cset18.ini,但是從數據 流可以看出該文件實際上是一個PE文件,文件頭中標識的產品名稱爲DataDll。
圖1-1將該文件從數據流中提取出來得到一個dll文件,查看該文件的屬性,得到其文件說明爲“360安全瀏覽器 安全網銀”。
圖1-2從該文件中提取到一段Base64編碼的文本信息:
W3N0XQ0KY291bnQ9Mg0KW3N0MV0NCmlkPTENCnVybD1odHRwOi8vd3d3LmJhaWR1LmNvbS9zZWFyY2gvcmVzc2FmZS5odG1sKg0KW3N0Ml0NCmlkPTINCnVybD1odHRwOi8vdmVyaWZ5LmJhaWR1LmNvbS92Y29kZT8qDQpbdHJheW1zZ10NCnN0YXRpY3NpZD0zMQ0KY291bnQgPSAxDQp1cmwxPWh0dHA6Ly93d3cuYmFpZHUuY29tL3NlYXJjaC9yZXNzYWZlLmh0bWwqDQpbbWFpbl0NCmhrcmVzMj0xDQpjYmM9MQ0KW2NiY10NCnVybGNvdW50PTENCnVybDE9aHR0cDovL3d3dy5iYWlkdS5jb20vc2VhcmNoL3Jlc3NhZmUuaHRtbCoNCmNiY2NvdW50PTINCmMxPUJBSURVSUQNCmMyPUJEVVNT
經過解碼後的內容爲:
[st]
count=2
[st1]
id=1
url=http://www.baidu.com/search/ressafe.html*
[st2]
id=2
url=http://verify.baidu.com/vcode?*
[traymsg]
staticsid=31
count = 1
url1=http://www.baidu.com/search/ressafe.html*
[main]
hkres2=1
cbc=1
[cbc]
urlcount=1
url1=http://www.baidu.com/search/ressafe.html*
cbccount=2
c1=BAIDUID
c2=BDUSS
由此可推測該DLL文件的功能與網銀無任何關係,而是跟搜索引擎百度相關可能是爲了躲避Referer字段的檢查。這種行爲雖然不涉及用戶隱私,但是具有欺騙性。
此外,360安全瀏覽器還會在用戶不知情的情況下定期從服務端下載和執行一個名爲“ExtSmartWiz.dll”的動態鏈接庫。如果該動態 鏈接庫被植入惡意功能或者不法分子利用域名劫持等方法對瀏覽器下載的“ExtSmartWiz.dll”文件進行惡意篡改,將會給用戶安全帶來嚴重危害。
2)收集用戶瀏覽記錄:很多瀏覽器會將用戶所打開的頁面地址上傳到服務器,以分析用戶的個人愛好或者統計網站的受歡迎度,從而在瀏覽器首頁更好 地爲用戶推薦個性化內容。這種行爲也侵犯了用戶的隱私數據。下圖爲當用戶使用360安全瀏覽器5.0訪問網頁的時候,每打開一個網頁之後都會向360的特 定服務器發送一個POST請求,內容包含加密過的url信息。
圖1-3
3)收集瀏覽器地址欄輸入信息:當用戶在瀏覽器地址欄中輸入網址的時候,很多瀏覽器爲了幫助用戶自動補全網址,會把用戶所輸入的內容上傳到服務 器來。下圖爲當用戶在360安全瀏覽器5.0的地址欄中輸入“10.105.240.57”時,瀏覽器會將該地址發送到sug.so.360.cn,並且 發送時附帶的Cookie中會帶有具有用戶唯一性標誌的guid值,這可能會導致特定用戶的地址欄輸入以及瀏覽記錄被跟蹤和泄漏。
圖1-4下圖所示爲當用戶在360安全瀏覽器5.0的地址欄中輸入“weibo.com”的過程中,每輸入一個字符,瀏覽器就會向 sug.so.360.cn發送當前瀏覽器地址欄中的內容(即“w”、“we”、“wei”、“weib”、“weibo”、“weibo。”、 “weibo.c”、“weibo.co”、“weibo.com”)。
