“360安全瀏覽器在干嘛呢?誰也不知道�。為什么要這樣忙碌呢?作為瀏覽器����,其作用就是可以顯示網(wǎng)頁服務(wù)器或者文件系統(tǒng)的HTML文件內(nèi)容�����,并讓用戶與這些文件交互的一種軟件�。根據(jù)最小特權(quán)原則,你是沒有理由在我的電腦里不停地‘工作’�����。你要問他在做什么���,他就說�,是為了你的安全�����。”
“明明知道360在做不應(yīng)該發(fā)生的事情�,但不知道發(fā)生的是什么事情����。這就是360留給中國所有安全專業(yè)人員最大的課題。”獨(dú)立調(diào)查員解釋說�,這是因?yàn)?60在這方面做了非?��?b密的設(shè)計(jì),其防御體系相當(dāng)嚴(yán)密��,要突破防線有所收獲�,是件非常困難的事情�。
而這�����,也正是許多從事安全的專家們感興趣的事情��。
2010年2月6日�����,360多年的宿敵——瑞星拿出了一份 “證據(jù)”�����,其發(fā)布的《奇虎360利用“后門”拿走了用戶什么》一文�����,利用大量技術(shù)細(xì)節(jié)說明360安全衛(wèi)士在安裝進(jìn)用戶電腦時(shí)���,會偷偷開設(shè)后門��,并時(shí)刻監(jiān)視用戶訪問網(wǎng)站�����,將相關(guān)信息上傳至360網(wǎng)站����。
此事標(biāo)志著360第一次露出“不安全”的真面目����,從此一發(fā)而不可收拾。
據(jù)《每日經(jīng)濟(jì)新聞》記者調(diào)查�,國內(nèi)有一大批黑客對破獲360的防線,以及搞明白360這個(gè)黑匣子內(nèi)到底有什么非常感興趣��,想通過攻擊360而獲得其 侵犯用戶隱私信息的證據(jù)���。他們之間甚至有一個(gè)松散型的組織,經(jīng)常交換這方面的信息�����。但與此同時(shí),也有些黑客最終被360“招安”��,成為其公司成員����。
2010年12月31日,在黑客狂轟濫炸360服務(wù)器后��,360防線被攻破���,存儲于其服務(wù)器上的大量用戶隱私數(shù)據(jù)噴涌而出���,被谷歌搜索爬蟲自動(dòng)抓取�����,并公告天下�。360多年來宣稱的 “用戶隱私大于天”的謊言正式被揭穿。
上圖為某網(wǎng)民通過360safe.com泄露的數(shù)據(jù)登錄某政府機(jī)關(guān)的內(nèi)部郵箱
這份意外泄露的文件詳細(xì)記錄了大量360用戶的全網(wǎng)訪問過程���,包括瀏覽的網(wǎng)頁�、下載過的應(yīng)用�、搜索的關(guān)鍵字等,并將這些訪問記錄與唯一用戶掛鉤。在 這個(gè)服務(wù)器中�,每個(gè)用戶對應(yīng)一個(gè)字符串,通過查詢字符串����,可以了解用戶的所有個(gè)人信息、上網(wǎng)瀏覽記錄���、賬號密碼�,例如用戶在百度搜索關(guān)鍵字���、淘寶購物記 錄�����、金蝶����、奇瑞等企業(yè)內(nèi)部財(cái)務(wù)網(wǎng)絡(luò)數(shù)據(jù)����、某政府機(jī)構(gòu)官方郵箱用戶名及密碼等鏈接數(shù)據(jù)。
《每日經(jīng)濟(jì)新聞》獲得的一份對泄露日志文件分析統(tǒng)計(jì)的結(jié)果顯示��,此次泄密事件涉及總條數(shù)141萬條,其中涉及用戶名信息的條目有247326 個(gè)��,既包含用戶名又包含密碼條目有816個(gè)�����。而這對于360收集的海量數(shù)據(jù)來說只是冰山一角�,截至目前為止,360從沒有公開解釋被泄露的數(shù)據(jù)總量有多少�,被下載了多少次。
然而�����,有關(guān)360如何“利用”用戶的信任���,如《全民公敵》影片中的衛(wèi)星一樣“間諜”式地監(jiān)控著用戶的電腦,這個(gè)謎團(tuán)卻依然沒有辦法破解�,至今沒有一家安全廠商拿出這個(gè)過程的有力證據(jù)。
獨(dú)立調(diào)查員告訴記者��,360安全衛(wèi)士����、360安全瀏覽器���,其內(nèi)部運(yùn)作流程就像一個(gè)暗箱,外部人可以聽到里面有動(dòng)作���,但卻沒有辦法知道里面發(fā)生了什么���,以及它如何阻止外部人破解它。
而獨(dú)立調(diào)查員卻偏執(zhí)地選擇了這條破解之路����。他先制作了一張簡單的圖表,以揭示360拳頭產(chǎn)品360安全衛(wèi)士內(nèi)部的操作模型(如圖)����。
從這個(gè)圖中可以看出,360安全衛(wèi)士對用戶在電腦上進(jìn)行軟件操作�、文檔操作等所有操作舉動(dòng)均秘密進(jìn)行監(jiān)視、記錄����,然后進(jìn)行壓縮后上傳至云端服務(wù)器;過去,上傳的過程為明文上傳�����,這對用戶的隱私帶來非常嚴(yán)重的威脅,在經(jīng)歷過幾次大的泄密事件后�,目前上傳文件已經(jīng)加密。
文件上傳到360云端存儲后�����,文件會立即在本地被刪除��,這招防御術(shù)非常兇狠�����,即使有人破解其行為���,并獲得文件證據(jù)���,但因?yàn)殡S時(shí)的刪除,很難將證據(jù)做實(shí)��,變成死無對證的孤證�。
用戶電腦中的360安全衛(wèi)士這一套運(yùn)行機(jī)制都是事先預(yù)設(shè)好的���,可以獨(dú)立操作完成;但實(shí)際上��,360云端(360安全數(shù)據(jù)中心)對用戶客戶端的 360安全衛(wèi)士具備直接控制能力���。360云端不僅可以下達(dá)專門的指令(后文還將詳述)�����,同時(shí)一旦360安全衛(wèi)士發(fā)現(xiàn)有人在監(jiān)視其通信操作等����,會發(fā)出安全警告以阻止繼續(xù)操作并限時(shí)自行禁止��。這也給破獲工作帶來相當(dāng)程度的干擾��。
據(jù)一名多年研究360產(chǎn)品的黑客告訴《每日經(jīng)濟(jì)新聞》記者��,“設(shè)置如此高難度障礙的人一定是行業(yè)的高手��?��?梢詳喽?�,360內(nèi)部一定有國內(nèi)頂尖級的黑 客高手����。他們才有可能做到既做暗事,又不留任何把柄��。這就像是一個(gè)江洋大盜���,來無影�,去無蹤����,飄忽不定,作案后現(xiàn)場不留任何痕跡����,實(shí)在是高精尖的設(shè)計(jì)。”
這名黑客發(fā)現(xiàn)����,360安全衛(wèi)士的暗箱操作行蹤越來越?jīng)]有規(guī)律可循,換句話說����,其運(yùn)作規(guī)律經(jīng)過精心策劃,非常不容易被外界掌握���。同時(shí)�����,其獲取信息的區(qū) 域半徑越來越由中心城市向二��、三�����、四線城市延伸����。這樣的話�,要想抓到證據(jù)就更為艱難。“中國擁有30多個(gè)省級行政區(qū)����,336個(gè)二級行政區(qū),還不包括數(shù)以千 計(jì)的三級��、四級行政區(qū)�,這就相當(dāng)于360安全衛(wèi)士在中國網(wǎng)民的生活中布下了天羅地網(wǎng)。”
據(jù)《每日經(jīng)濟(jì)新聞》記者調(diào)查發(fā)現(xiàn)���,國內(nèi)不止一家公司準(zhǔn)備投入大量人力來破獲360的違法行為����,但最終都偃旗息鼓。原因就在于���,360收集用戶信息的行為 “就像空中劃過的彗星�,茫茫夜空���,布下天羅地網(wǎng)���,時(shí)刻守候,才有可能有所斬獲�����,這樣的投入產(chǎn)出比太低了”����。
黑匣子現(xiàn)身:對用戶個(gè)人信息涉嫌暗箱操作/
“破解360安全衛(wèi)士的非法操作,是一件很好玩的貓捉老鼠的事情��。”上述黑客向《每日經(jīng)濟(jì)新聞》記者感嘆說���,360安全衛(wèi)士的技術(shù)架構(gòu)非常復(fù)雜��,組 件有很多程序�����,軟件包有幾十個(gè)可執(zhí)行的程序���,還有擴(kuò)展庫。如果要查清楚是否侵犯用戶隱私����,則需要對每個(gè)程序進(jìn)行分析,就像分析病毒一樣地分析每個(gè)文件���,而 這需要投入大量的時(shí)間和精力����。
這名黑客給記者展示了許多“同行”間來往的郵件���,此中展現(xiàn)出破解之后的喜悅�,以及經(jīng)驗(yàn)的交流����。
而獨(dú)立調(diào)查員宣稱�,他“已基本破解了360安全衛(wèi)士的謎局�����,但離發(fā)布還為時(shí)尚早”��,因?yàn)樗?ldquo;鐵板釘釘?shù)氖虑?rdquo;����。
在《每日經(jīng)濟(jì)新聞》記者保證不會將其操作思路披露的情況下,獨(dú)立調(diào)查員將其操作的核心步驟進(jìn)行了詳盡的現(xiàn)場演示�����。在征得其允諾的情況下�,記者可以告知的是:針對360的設(shè)置,進(jìn)行反向操作�,反向分析而破解。
到目前為止�,已經(jīng)披露的最重要證據(jù)為獨(dú)立調(diào)查員于2012年12月6日在其微博上發(fā)布的一個(gè)視頻(http:/weibo.com/2902756801/z8BUvfWqe)。這份視頻詳盡地破解了360安全衛(wèi)士秘密獲取用戶信息的過程��。
獨(dú)立調(diào)查員告訴記者�����,這份13分36秒的視頻以完整的手法記錄了破獲360竊取用戶隱私的證據(jù)。它證明了360在用戶電腦中收集�����、上傳用戶信息的“動(dòng)作”���,“猖狂到任何簡單的、常規(guī)的軟件操作行為都將被記錄�����,與安全問題完全無關(guān)�����,而這些信息都在用戶個(gè)人隱私范疇”����。
但據(jù)獨(dú)立調(diào)查員宣稱,這份視頻資料并非其采集����、制作�,“而是來自一名自稱是安全領(lǐng)域?qū)<业哪涿耸?rdquo;��,他通過微博私信向獨(dú)立調(diào)查員爆料:自己已經(jīng)掌握了360安全衛(wèi)士7.3竊取用戶隱私并上傳到360服務(wù)器的司法證據(jù)�����,現(xiàn)在可以無償將這段司法證據(jù)給他�����。
而關(guān)于這份證據(jù)�����,獨(dú)立調(diào)查員認(rèn)為�����,將是未來給360的“一顆小小的炸彈”�,在法庭上是有力的呈堂證供。
據(jù)記者了解�,去年11月28日,在易觀國際主辦的“易士堂”網(wǎng)絡(luò)安全論壇(第二季)論壇上�����,這份視頻資料也曾分享給包括國家信息中心、中國信息安全 測評中心等安全業(yè)界人士;而最初制作這段視頻并進(jìn)行司法公證的正是金山安全專家李鐵軍����。不過李鐵軍否認(rèn)自己就是給獨(dú)立調(diào)查員爆料的匿名人士。
據(jù)李鐵軍透露�����,2010年11月�����,卡飯安全論壇有人爆料稱“360安全衛(wèi)士7.3的某個(gè)版本會竊取用戶隱私上傳到360服務(wù)器”�,爆料的內(nèi)容非常簡 單��,只提供了一個(gè)有趣的細(xì)節(jié)暗示:需要用戶在360loginfo目錄對刪除權(quán)限做一個(gè)修改才有可能捕捉到360的罪證�,帖子不久就消失了。
李鐵軍首先嘗試重現(xiàn)帖子描述的問題�����,而不是對軟件進(jìn)行逆向分析���,經(jīng)過數(shù)月才完成了這一個(gè)證據(jù)的抓取�。
“反反復(fù)復(fù)不知道試了多少回。”李鐵軍對《每日經(jīng)濟(jì)新聞》記者表示���,憑借多年的經(jīng)驗(yàn)�����,他終于找到了關(guān)鍵所在�,比如有竊取隱私問題的360安全衛(wèi)士版 本號為7.3.0.2003l�����,數(shù)字簽名時(shí)間為2010年11月8日�����,要想重現(xiàn)必須將360loginfo訪問權(quán)限修改為“所有人不可刪除”;再比如安裝 時(shí)修改系統(tǒng)時(shí)間與2010年11月8日不能相差太久��,安裝前須斷開網(wǎng)絡(luò)(禁用網(wǎng)卡或拔網(wǎng)線)�����。
即使這樣��,也有一些情況在李鐵軍“意料之外”���。
“開始想到的是禁用網(wǎng)卡和改360loginfo目錄的訪問權(quán)限�����,但奇怪的是����,有時(shí)能在安裝后幾分鐘內(nèi)即可在360loginfo目錄看到日志生 成,有時(shí)等幾小時(shí)都不能重現(xiàn)�,于是嘗試將系統(tǒng)日期從單數(shù)修改為雙數(shù)或從雙數(shù)修改為單數(shù),結(jié)果很快看到奇怪的日志文件出現(xiàn)了����。”李鐵軍表示,這幾條重現(xiàn)規(guī)則 是反復(fù)多次嘗試之后才總結(jié)出來的���。
而上述結(jié)果也在曝光之后第一時(shí)間得到IDF互聯(lián)網(wǎng)情報(bào)威懾防御實(shí)驗(yàn)室的驗(yàn)證。2012年11月25日�����,該實(shí)驗(yàn)室發(fā)布報(bào)告表示����,360安全衛(wèi)士 v7.3.0.2003l所搜集用戶軟件操作信息�����,對用戶隱私造成風(fēng)險(xiǎn)�,若用戶運(yùn)行 某 一 程 序 ��,360安 全 衛(wèi) 士v7.3.0.2003l會把程序所在路徑搜集并未經(jīng)加密上傳至360服務(wù)器��。若360公司所存放信息的數(shù)據(jù)庫泄露或傳輸數(shù)據(jù)被黑客截取進(jìn)行社工分析�,可造成用戶的信息泄露。
萬濤對《每日經(jīng)濟(jì)新聞》表示����,根據(jù)之前的評測報(bào)告,360安全衛(wèi)士v7.3.0.2003l對用戶信息的處理涉嫌未遵守其中的用戶知情權(quán)�、選擇權(quán)及禁止權(quán),并在未獲得個(gè)人信息主體的明確同意下記錄和上傳用戶行為數(shù)據(jù)����。
值得注意的是,已于2月1日正式生效的我國首個(gè)個(gè)人信息保護(hù)國家標(biāo)準(zhǔn) 《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》明確規(guī)定��,個(gè)人信息獲得者在收集個(gè)人信息時(shí)��,需“具有特定、明確��、合法的目的”�����?����;诖?��,在收集 前要采用個(gè)人信息主體易知悉的方式�,向個(gè)人信息主體明確告知和警示如下事項(xiàng):處理個(gè)人信息的目的;個(gè)人信息的收集方式和手段���、收集的具體內(nèi)容和留存時(shí)限; 個(gè)人信息的使用范圍、被收集后的個(gè)人信息保護(hù)措施、個(gè)人信息主體的投訴渠道;同時(shí)提醒個(gè)人信息主體提供個(gè)人信息后可能存在的風(fēng)險(xiǎn)和個(gè)人信息主體不提供個(gè)人 信息可能出現(xiàn)的后果。且“只收集能夠達(dá)到已告知目的的最少信息”�。而信息獲得者如需將個(gè)人信息轉(zhuǎn)移或委托于其他組織和機(jī)構(gòu)時(shí)��,也需要向個(gè)人信息主體明確告 知轉(zhuǎn)移或委托的目的����、轉(zhuǎn)移或委托個(gè)人信息的具體內(nèi)容和使用范圍��、接受委托的個(gè)人信息獲得者的名稱����、地址�����、聯(lián)系方式等。
很明顯��,360公司在個(gè)人信息的收集�����、加工�����、轉(zhuǎn)移����、刪除等環(huán)節(jié),明顯將行業(yè)的游戲規(guī)則拋諸腦后��,一意孤行地進(jìn)行著暗箱操作。
技術(shù)篇之二·后門
360后門秘道:“上帝之手”�,抑或“惡魔之手”?
每經(jīng)記者 秦俑
“作為宣稱‘最安全的瀏覽器’的360安全瀏覽器�����,被發(fā)現(xiàn)存在極大潛在安全威脅的‘后門’���。毫無疑問�����,‘獨(dú)立調(diào)查員’是第一人��。即使給他頒發(fā)一個(gè)國 家級的科技發(fā)現(xiàn)獎(jiǎng)也不為過。而且����,多少年后�����,人們一定會感謝這位幕后的英雄�,為了廣大用戶的上網(wǎng)安全,做出了卓越的貢獻(xiàn)���。”百度安全部門的相關(guān)負(fù)責(zé)人如此 評價(jià)360安全瀏覽器“后門”發(fā)現(xiàn)者。
按照獨(dú)立調(diào)查員的理解�����,所謂360的后門�����,不僅存在于360安全瀏覽器���,也存在于360安全衛(wèi)士�。他說����,“你這樣來看����,在你的小區(qū)����,保安說��,因?yàn)榘?全的需要����,你們要將房門的鑰匙放一把在我身上�,我可以隨時(shí)來檢查你家庭的安全。這本身已經(jīng)非常大的不安全了�����,但你更不知道的是,這個(gè)保安公司�����,還在地下挖 有一條通道,可以直接從地下通過地道悄悄進(jìn)入你的房間���。而這個(gè)地道,就是后門�����。”
360后門秘道浮出水面/
2012年10月,當(dāng)時(shí)“方周大戰(zhàn)”正酣�����,獨(dú)立調(diào)查員才注意到了360安全產(chǎn)品��,因?yàn)樗恢笔锹銠C(jī)���,從未想過要關(guān)注360���。但這一關(guān)注,他敏銳地發(fā)現(xiàn)�,360“非常異類”——許多行為不僅是反安全的,甚至是“反人類的”�。
獨(dú)立調(diào)查員特意在用于測試的虛擬機(jī)中安裝了全套360產(chǎn)品��,并由此發(fā)現(xiàn)360產(chǎn)品的許多 “不規(guī)矩行為”��,他隨手將這些發(fā)現(xiàn)發(fā)布在微博上��,立即引起許多關(guān)注��,但也遭到一些人的攻擊����。“有些人明顯就是360的人在挑釁��,這激怒了我�����,我這人不喜歡耍嘴皮子�����,我是軟件專業(yè)人員�����,我只講證據(jù)”�����,獨(dú)立調(diào)查員如此說���。
獨(dú)立調(diào)查員發(fā)現(xiàn),360瀏覽器網(wǎng)絡(luò)通信有非常異常的情況�����,“最開始只是發(fā)現(xiàn)其時(shí)間周期性:每隔5分鐘,瀏覽器就主動(dòng)發(fā)起一次與服務(wù)器之間的通信過程�,雖然不知道在干嘛,但其短周期性非?��?梢?����。”
為什么不打開任何網(wǎng)頁��、不動(dòng)鍵盤和鼠標(biāo)����,360瀏覽器依然忙個(gè)不停呢?“國內(nèi)外所有的知名瀏覽器都不會存在這樣的行為模式����。可以肯定���,此中必有蹊蹺”。
于是�,他繼續(xù)追查,雖然下載的文件名是文本文件(ini)�,但當(dāng)他把數(shù)據(jù)包拼接成文件后一看 (當(dāng)時(shí)尚不知道服務(wù)器IP地址對應(yīng)域名,受服務(wù)器限制未能通過網(wǎng)址直接下載文件,也尚未注意到文件被暫存于臨時(shí)文件夾)��,實(shí)際是個(gè)DLL(可動(dòng)態(tài)加載的程 序模塊)���。“以我的知識和經(jīng)驗(yàn)�,很快意識到問題的嚴(yán)重性——以更新配置文件為耳目���、周期性下載并加載執(zhí)行小程序——這是一個(gè)后門���。至于360利用它做什 么、曾做過什么并非重點(diǎn)��,重點(diǎn)是他們可以做任何事而不為人知、不留痕跡。”
于是���,他于去年10月29日通過微博對外公布了360瀏覽器有后門的事實(shí),同時(shí)公開向工信部���、公安部發(fā)出了一封名為《公開舉報(bào)奇虎360公司——致工信部�����、公安部公開信》的舉報(bào)信���。
《每日經(jīng)濟(jì)新聞》記者注意到����,在這封舉報(bào)信中�,獨(dú)立調(diào)查員直接斥責(zé)道:“奇虎360公司的 ‘360安全瀏覽器’暗藏‘后門’�����,是用戶系統(tǒng)安全和信息安全的嚴(yán)重潛在威脅”。
他舉證說�,360安全瀏覽器實(shí)為C/S架構(gòu)木馬系統(tǒng)的客戶端��,服務(wù)器群是se.#(云架構(gòu)�,IP地址不定)�。瀏覽器每隔5分鐘即向服務(wù)器 請求新的“指示”��。新的指示偽裝成Ini(純文本文件類型)發(fā)出,實(shí)際上是DII文件(Windows可執(zhí)行程序庫或資料庫)等。
此事一石激起千層浪��。不過,具有挑戰(zhàn)的是����,獨(dú)立調(diào)查員的分析結(jié)果僅僅是網(wǎng)絡(luò)分析,是“后門”機(jī)制的初步證據(jù)和技術(shù)推斷����,而非直接的鐵證��。正是因?yàn)檫@樣�,360開始在網(wǎng)絡(luò)上對其進(jìn)行質(zhì)疑����、攻擊,甚至嘲諷��。
“他們以為我只會網(wǎng)絡(luò)抓包呢!”獨(dú)立調(diào)查員表示。于是��,為了做實(shí)360的后門機(jī)制,他決定反向分析瀏覽器本身的程序庫,并詳細(xì)分析出“后門”機(jī)制的內(nèi)部執(zhí)行流程�����。
然而����,這并非一件容易的事情����。“因?yàn)闆]有軟件源程序����、更沒有設(shè)計(jì)文檔��,所以分析難度相當(dāng)大�。給你個(gè)軟件���,只能進(jìn)行其公開可見的操作,而內(nèi)部運(yùn)作卻完全是個(gè)黑洞��。”獨(dú)立調(diào)查員表示���。
源程序(源代碼)自然沒有。而要通過反向工程來破解����,難度相對較高���,也非常浪費(fèi)時(shí)間�。何況360瀏覽器軟件規(guī)模不小�,而且還有很多內(nèi)置的擴(kuò)展程序�����。
“我首先用排除法把擴(kuò)展組件挨個(gè)干掉���,我刪掉一個(gè)擴(kuò)展組件,如果后門機(jī)制還在��,說明與這個(gè)擴(kuò)展組件無關(guān)。”獨(dú)立調(diào)查員最開始的直覺是后門應(yīng)該在擴(kuò)展 程序里面,因?yàn)橹鞒绦蛞蜋z����,但是當(dāng)獨(dú)立調(diào)查員把可見的擴(kuò)展程序全部刪掉后�,后門還在���,于是他開始刪(對普通用戶)不可見的擴(kuò)展組件����。
“通過排除法,最后確認(rèn)是擴(kuò)展組件SmartWiz在搞鬼。刪掉它以后����,瀏覽器就安靜了,那個(gè)5分鐘一輪的上傳下達(dá)活動(dòng)消失了�。”
不過�����,還沒有結(jié)束。為了進(jìn)一步查明360后門真相�,獨(dú)立調(diào)查員還需要反向編譯出匯編代碼并跟蹤測試。
通過一系列技術(shù)過程���,獨(dú)立調(diào)查員掌握了360瀏覽器在SmartWiz整個(gè)組件里與360服務(wù)器間建立通信�、下載�、臨時(shí)存儲、加載執(zhí)行�����、刪除(銷毀證據(jù))的流程����,同時(shí)也知道了其時(shí)鐘控制調(diào)度機(jī)制(5分鐘間隔定時(shí)器)。
360后門的安全之殤/
360安全瀏覽器設(shè)計(jì)出來的后門��,恰恰給用戶帶來了極大的不安全����。
為了讓用戶知道這個(gè)后門的惡劣程度,一直涉足互聯(lián)網(wǎng)安全工作的騰訊集團(tuán)副總裁曾宇�,對沒有后門的瀏覽器的重要性做了解答(如左圖)。
一般個(gè)人用戶的電腦中�����,90%以上為windows系統(tǒng)���,這套系統(tǒng)與互聯(lián)網(wǎng)之間的聯(lián)系�����,是需要瀏覽器來實(shí)現(xiàn)的�����,同時(shí)���,因?yàn)闉g覽器的閉環(huán)作用
(可以理解為沒有縫的雞蛋殼��,除非用戶特別授權(quán))�����,其也是windows系統(tǒng)與互聯(lián)網(wǎng)之間的天然屏障�����,任何來自于其他云端的指令等����,都不會穿透這層保護(hù)而到達(dá)windows系統(tǒng)��。這樣�,用戶電腦中的windows系統(tǒng)得到最好的保護(hù),所有執(zhí)行的指令���,都是來自于用戶自己����。
而IDF互聯(lián)網(wǎng)情報(bào)威懾防御實(shí)驗(yàn)室創(chuàng)始人萬濤則對瀏覽器后門做了解讀��。他說�,被稱作360“安全”的瀏覽器,卻有一個(gè)特殊的資源文件����,這個(gè)資源文件硬生生地將這個(gè)蛋殼打開了一條縫,而且是一條用戶看不到的縫����。
通過這個(gè)后門,360瀏覽器可以根據(jù)監(jiān)視用戶電腦操作過程中出現(xiàn)的情況�,向360云安全中心發(fā)出請求,360云端的后門服務(wù)體系根據(jù)請求����,給出相應(yīng)的DLL,即windows可執(zhí)行程序庫��。這個(gè)DLL通過360瀏覽器的后門�,直接進(jìn)入用戶的windows系統(tǒng)。
此時(shí)��,這個(gè)DLL好生了得��,它甚至已不受瀏覽器的控制�����,它在用戶windows系統(tǒng)中可做的事情包括但不限于:
獲取用戶的文件,并上傳到云端;
讀寫����、增刪用戶的文件;
監(jiān)聽用戶通訊;
更改windows系統(tǒng)的注冊表或重要的設(shè)置參數(shù);
悄悄卸載競爭對手的產(chǎn)品,等等��。
同時(shí)�����,這個(gè)DLL還可以通過這個(gè)后門�,直接對互聯(lián)網(wǎng)發(fā)出指令,包括但不限于:
自動(dòng)從360服務(wù)器下載軟件來安裝或運(yùn)行;
代替用戶直接進(jìn)行電子商務(wù)操作;
釋放木馬或病毒�����、創(chuàng)建常駐系統(tǒng)的服務(wù)��,等等���。
360是否做了這些呢?如果做了����,對其自身又會有怎樣的價(jià)值呢?會對行業(yè)、用戶帶來怎樣的傷害呢?沒有人知道答案�。
“搞清楚這些細(xì)節(jié)后,我就著手重現(xiàn)后門機(jī)制的運(yùn)作����,讓本來不可見的過程變得可見��,以做可視化演示�����,讓大家不僅能感知而且能 ‘看到’360暗設(shè)的這道‘后門’�����。”獨(dú)立調(diào)查員表示��。
在他看來��,360那個(gè)后門每5分鐘都會找360服務(wù)器下載一個(gè)DLL并加載執(zhí)行����,但它是個(gè)后門,隱蔽性第一����,因此DLL無論如何不會現(xiàn)身����,不存在彈出對話窗口或消息框��,因此需要給它模擬一個(gè)測試環(huán)境�����。
“通過在本地架設(shè)DNS服務(wù)�����,劫持#的域名解析����,把我的機(jī)器偽裝成360的服務(wù)器,然后那個(gè)注入瀏覽器的DLL不就由我自由控制了么?” 獨(dú)立調(diào)查員表示��,通過編一個(gè)只要被加載執(zhí)行就馬上彈出消息框的DLL����,拿自己寫的DLL注入給360瀏覽器,這就讓360瀏覽器的后門機(jī)制的運(yùn)行完全可見 了��。
就這樣,瀏覽器果然如預(yù)期的那樣�����,把獨(dú)立調(diào)查員在DLL里面寫的消息框給彈出來了��。
“被活捉啊!”從去年10月29日的公開信到11月5日的反向工程分析研究�,前后僅為六天(僅利用業(yè)余時(shí)間)����。
一個(gè)細(xì)微的細(xì)節(jié)是,獨(dú)立調(diào)查員為了讓更多的用戶知道360暗藏后門的事實(shí)�����,還將其調(diào)查結(jié)果通過65分鐘不間斷的視頻進(jìn)行全網(wǎng)絡(luò)直播�。由于要保證視頻 內(nèi)容真正做到65分鐘不間斷、不剪接����,而實(shí)際上他花費(fèi)了4個(gè)多小時(shí)一次次現(xiàn)實(shí)演示,直至實(shí)現(xiàn)一次性完成�,才算真正完成這一取證工作。
獨(dú)立調(diào)查員指出���,可執(zhí)行文件DLL絕非軟件的自動(dòng)更新(軟件更新是持久性的)�����,360安全瀏覽器自動(dòng)更新僅在啟動(dòng)時(shí)執(zhí)行一次��,與此行為無關(guān);而它也不是瀏覽器的一部分����,下載、暫存�����、加載調(diào)用后將立即被刪除�,完成使命后,不留任何痕跡�。
360后門:綁架用戶的遙控器/
獨(dú)立調(diào)查員的這一發(fā)現(xiàn)發(fā)布后,立即在業(yè)內(nèi)引起巨大震動(dòng)��。
以電子取證為主業(yè)的獨(dú)立第三方IDF互聯(lián)網(wǎng)情報(bào)威懾防御實(shí)驗(yàn)室立即跟進(jìn)����,對獨(dú)立調(diào)查員的舉報(bào)結(jié)論進(jìn)行重復(fù)性認(rèn)證,結(jié)論為:360安全瀏覽器v5.0.8.7的ExtSmartWiz.dll文件的屬性���、行為及反編譯內(nèi)容與獨(dú)立調(diào)查員描述完全一致����。
萬濤表示,在當(dāng)時(shí)的檢測中����,即使在關(guān)閉360安全中心可以關(guān)閉的功能,包括網(wǎng)址云安全����、廣告云攔截����、第二代防假死、沙箱保護(hù)����,在未進(jìn)行任何瀏覽器操 作情況下,仍然可以抓取到ExtSmartWiz.dll請求服務(wù)器文件及下載服務(wù)器文件記錄���,而這些并未包含在《360用戶隱私保護(hù)白皮書》有關(guān) “360安全瀏覽器的隱私保護(hù)說明”中��。
業(yè)內(nèi)一位安全專家認(rèn)為�����,360瀏覽器利用后門通過秘密手段�����,每5分鐘操作一次程序性動(dòng)作�,究竟做了什么?現(xiàn)在不易獲知,相信終有一天�����,360內(nèi)部的 程序員等知情人士會將此完整地披露給大眾�。但可以認(rèn)定,360這一行為有不可告人的目的�,最為正面的理解是:如果全國要抓貪腐,可能不再需要小三�����、二奶們 自告奮勇地獻(xiàn)身了�����,只要打開360瀏覽器,貪腐只要是上網(wǎng)的���,基本上其丑行就可以通過360安全瀏覽器��、360安全衛(wèi)士這個(gè)后門機(jī)制暴露無遺了����。
針對獨(dú)立調(diào)查員的證據(jù)���,360方面至今也無正面回應(yīng)���。
據(jù)獨(dú)立調(diào)查員的最新消息,360安全瀏覽器5.0版的“后門”機(jī)制仍在運(yùn)作�����,但360服務(wù)器已不再通過“后門”下發(fā)任何DLL��,僅下發(fā)空文件(文件大小為0的文件)��。
對360安全瀏覽器最新版(6.0.2.202)的網(wǎng)絡(luò)通信監(jiān)測表明��,在未打開和瀏覽任何網(wǎng)站的情況下�����,瀏覽器仍然在與360云服務(wù)器密集通信��,但與5.0版的情況明顯不同���。這里是否藏了什么新的秘密?
獨(dú)立調(diào)查員對此已作了嘗試調(diào)研��,他告訴 《每日經(jīng)濟(jì)新聞》記者����,“有關(guān)結(jié)果�����,在合適的時(shí)候會披露出來���。”
“此中有一個(gè)不易注意的細(xì)節(jié)����,”獨(dú)立調(diào)查員告訴記者���,“當(dāng)時(shí)�����,360安全瀏覽器產(chǎn)品經(jīng)理陶偉華在回應(yīng)我的微博時(shí)�����,就把我指出的 ExtSmartWiz.dll文件名篡改成SmartWizRes.dll�����,而現(xiàn)在其6.0版本恰恰就是現(xiàn)在的‘SmartWizRes.dll’��,可見其早已有想通過偷梁換柱的方式掩蓋其惡行�����。”
據(jù)多位安全專家表示��,“后門”并非360獨(dú)創(chuàng)�����,原來��,其作用為“方便之門”��。最著名的“后門”軟件為灰鴿子(Hack.Huigezi)����。其誕生于 2001年,原本是一款優(yōu)秀的遠(yuǎn)程控制軟件�����,其后門機(jī)制作用為方便實(shí)施遠(yuǎn)程控制�。但正是這“后門”機(jī)制,又使其成為集多種控制方法于一體的木馬病毒��。一旦 用戶電腦不幸感染�,可以說用戶的一舉一動(dòng)都在黑客的監(jiān)控之下,要竊取賬號�����、密碼���、照片��、重要文件等皆手到擒來����。因此,自其誕生之日起�,就被反病毒專業(yè)人士 判定為最具危險(xiǎn)性的后門程序����,并引發(fā)了安全領(lǐng)域的高度關(guān)注,同時(shí)成為全球公認(rèn)的“毒王”�。
360安全瀏覽器比“灰鴿子”更為危險(xiǎn)的是,它的市場占有量很高�。根據(jù)艾瑞咨詢此前發(fā)布的數(shù)據(jù)顯示,360最主要的產(chǎn)品360安全衛(wèi)士的市場份額已 經(jīng)高達(dá)84.41%����,同時(shí)360也擁有國內(nèi)最大的瀏覽器和網(wǎng)址導(dǎo)航份額,所占市場份額大致為30%����。這也意味著數(shù)億量級360瀏覽器安裝于用戶的電腦中, 如果有人破解360安全瀏覽器���,從而控制這個(gè)后門的話�,那將是災(zāi)難性事件��,它導(dǎo)致一個(gè)國家的癱瘓都是完全可能的�����。因?yàn)?60安全衛(wèi)士��、360安全瀏覽器早 已進(jìn)入了中國大多數(shù)用戶的電腦�����。
萬濤進(jìn)一步指出��,更為令人擔(dān)憂的是�,360的“后門”控制屬于云端,至今仍秘而不宣�。“凡安裝360安全瀏覽器或360安全衛(wèi)士的電腦,都已客觀上成了360可以任意支配的‘肉雞’���。而360目前在許多領(lǐng)域中的不正當(dāng)行為����,都是基于其安全入口的裁判員機(jī)制而實(shí)施成功的。”
而來自金山的反病毒專家李鐵軍認(rèn)為�,360瀏覽器的后門機(jī)制,實(shí)際上已綁架了用戶�,成為360通過用戶的瀏覽器來直接攻擊競爭對手的工具�����,包括阻止 或殺死競爭對手的各類客戶端軟件�,阻止其中的重要程序�����,破壞競爭對手軟件的功能等等�����。“這樣的丑行只有中國才有��,是世界上惟一的先例���。
