中科院報(bào)告：360產(chǎn)品存在三大隱私安全問題

金屬風(fēng)暴

360瀏覽器侵犯用戶隱私話題再次引人關(guān)注。據(jù)《上海青年報(bào)》11月23日報(bào)道，中國科學(xué)院信息工程研究所主辦的“隱私保護(hù)”學(xué)術(shù)研討會(huì)在京召開。會(huì)上一份由中科院保密技術(shù)攻防重點(diǎn)實(shí)驗(yàn)室研究撰寫的《個(gè)人隱私泄露風(fēng)險(xiǎn)的技術(shù)研究報(bào)告》報(bào)告揭示：一直以安全為名的360瀏覽器在架構(gòu)設(shè)計(jì)、運(yùn)作原理方面竟然存在著三大隱私安全問題，將會(huì)給用戶安全帶來嚴(yán)重危害。

　　“這將會(huì)給用戶安全帶來嚴(yán)重危害”，《上海青年報(bào)》援引一位與會(huì)專家觀點(diǎn)稱。

　　此前，工信部曾公開宣布將對360安全問題展開調(diào)查，但目前尚沒有權(quán)威機(jī)構(gòu)出臺(tái)令人信服的調(diào)查結(jié)果。中科院作為信息研究的專業(yè)機(jī)構(gòu)，此次所出具的該項(xiàng)報(bào)告，或?qū)⒊蔀橥苿?dòng)該問題解決的重要依據(jù)。

　　《上海青年報(bào)》還從會(huì)上獲悉，中科院針對當(dāng)前互聯(lián)網(wǎng)常用產(chǎn)品及服務(wù)的隱私保護(hù)問題進(jìn)行了整體研究，涉及瀏覽器、即時(shí)通訊、電子商務(wù)、社區(qū)網(wǎng)站等多個(gè)類別。從記者輾轉(zhuǎn)獲得的報(bào)告原文來看，在瀏覽器隱私保護(hù)情況的研究章節(jié)里，中科院信息工程研究所研究人員對360安全瀏覽器進(jìn)行了詳細(xì)的研究和分析，并歸納列舉出360安全瀏覽器存在的三大安全問題，其中包括： 收集用戶所打開過的瀏覽頁面地址、收集用戶在瀏覽器地址欄輸入的信息以及預(yù)留后臺(tái)端口，在用戶不知情的情況利用云端指令，在后臺(tái)執(zhí)行《安裝許可協(xié)議》規(guī)定內(nèi)容之外的功能等。

　　調(diào)查中，研究人員通過專業(yè)技術(shù)手段對整個(gè)軟件運(yùn)行過程及環(huán)境進(jìn)行了綜合測試，證實(shí)了360確實(shí)存在安全問題，并在實(shí)驗(yàn)室進(jìn)行了多次復(fù)現(xiàn)。研究人員在報(bào)告中舉例稱，當(dāng)用戶在360安全瀏覽器地址欄中輸入一個(gè)完整的網(wǎng)址時(shí)，360瀏覽器會(huì)向360公司的特定服務(wù)器依次發(fā)送用戶的每一次輸入數(shù)據(jù)直至輸入完成，發(fā)送的信息包含了能夠確定用戶唯一性的ID，這可能會(huì)導(dǎo)致特定用戶的地址欄輸入以及瀏覽記錄容易被跟蹤和泄漏。另有分析顯示，“這些組件或以欺騙的方式被下載到電腦以實(shí)現(xiàn)360安全瀏覽器的某些未明示的功能，也可能造成用戶的電腦被惡意侵入”。

　　實(shí)際上，在過去數(shù)月，360安全軟件一直深陷安全及隱私泄漏漩渦，飽受來自網(wǎng)民、媒體、意見領(lǐng)袖和主管部門的質(zhì)疑。知名打假人士方舟子也就安全問題對360軟件發(fā)出連番質(zhì)疑，指稱360私自竊取用戶隱私、偽裝系統(tǒng)補(bǔ)丁、捆綁安裝軟件以及360通過“云控制”遠(yuǎn)程操控用戶電腦等。盡管360方面并未正面回應(yīng)這些問題和質(zhì)疑，僅僅將其歸為“競爭對手迫害”，但層出不窮的真實(shí)案例，仍然引發(fā)大量用戶關(guān)注并卸載360，一些世界500強(qiáng)企業(yè)也內(nèi)部通知禁用360全系產(chǎn)品。根據(jù)CNZZ最新發(fā)布的數(shù)據(jù)，自方舟子開始打假360以來， 360瀏覽器的市場份額下降了1.6%，保守估計(jì)流失用戶1000萬。

　　面對沸沸揚(yáng)揚(yáng)的“360隱私泄露門”， 10月25日，工信部新聞發(fā)言人、通信發(fā)展司司長張峰表示，工信部已經(jīng)介入調(diào)查方舟子指控的奇虎360瀏覽器竊取用戶隱私一事，“如果查實(shí)確有違法違規(guī)行為，將依法予以嚴(yán)肅處理”。360方面隨即宣布將主動(dòng)將產(chǎn)品送至國家質(zhì)檢總局和工信部檢驗(yàn)。

　　對于360的主動(dòng)“送檢”， 互聯(lián)網(wǎng)威懾防御(IDF)實(shí)驗(yàn)室創(chuàng)始人、安全專家萬濤認(rèn)為作用不大。萬濤指出，360使用的是云端控制技術(shù)，單檢測桌面軟件很難檢測到問題，對整個(gè)過程與環(huán)境進(jìn)行檢測評估才能更好地說明問題。

　　中國人民大學(xué)教授石文昌曾表示，如果安全軟件不遵守軟件安全機(jī)制設(shè)計(jì)的重要原則之一 -- 最小特權(quán)原則(POLP，principle of least privilege)，而是利用特殊權(quán)限，進(jìn)行非功能實(shí)現(xiàn)所必須的操作，其對系統(tǒng)權(quán)限的濫用將影響到用戶系統(tǒng)的信息安全。

　　相關(guān)與會(huì)專家表示，“根據(jù)此次中科院的研究報(bào)告，和之前社會(huì)各界對360軟件安全性的質(zhì)疑，360公司以安全為名、行盜取泄漏用戶隱私之實(shí)的一系列行為，已經(jīng)嚴(yán)重違反了工信部2011年第20號令頒布并于2012年3月15日實(shí)施的《規(guī)范互聯(lián)網(wǎng)信息服務(wù)市場秩序若干規(guī)定》中的相應(yīng)條款”。

　　該《個(gè)人隱私泄露風(fēng)險(xiǎn)的技術(shù)研究報(bào)告》標(biāo)明“V1.0”，發(fā)布者為“中國科學(xué)院信息工程研究所保密技術(shù)攻防重點(diǎn)實(shí)驗(yàn)室”，發(fā)布時(shí)間是2012年11月。

　　以下為《個(gè)人隱私泄露風(fēng)險(xiǎn)的技術(shù)研究報(bào)告V1.0》的部分內(nèi)容：

　　前言

　　隨著國內(nèi)外個(gè)人隱私泄露事件的頻繁發(fā)生和對個(gè)人隱私保護(hù)的重視，人們越來越關(guān)注日常工作生活中計(jì)算機(jī)軟件、移動(dòng)終端以及高技術(shù)帶來的個(gè)人隱私問題。中國科學(xué)院信息工程研究所保密技術(shù)攻防重點(diǎn)實(shí)驗(yàn)室對當(dāng)前常用軟件和終端產(chǎn)品的用戶隱私保護(hù)情況進(jìn)行了初步調(diào)查，通過實(shí)驗(yàn)研究發(fā)現(xiàn)了一些有關(guān)隱私保護(hù)存在的風(fēng)險(xiǎn)。本文主要從常用軟件、網(wǎng)絡(luò)服務(wù)、移動(dòng)終端以及聲光電磁等四個(gè)方面介紹了實(shí)驗(yàn)室的研究結(jié)果和發(fā)現(xiàn)。文中內(nèi)容注重實(shí)例研究和數(shù)據(jù)再現(xiàn)，希望引起有關(guān)部門對個(gè)人隱私相關(guān)問題的關(guān)注。

　　本文得到了北京大學(xué)互聯(lián)網(wǎng)安全技術(shù)北京市重點(diǎn)實(shí)驗(yàn)室的幫助。

　　1 終端常用軟件與用戶隱私保護(hù)

　　1.1網(wǎng)絡(luò)瀏覽器

　　許多網(wǎng)絡(luò)瀏覽器為了增強(qiáng)用戶體驗(yàn)、提供個(gè)性化服務(wù)、發(fā)展定向廣告業(yè)務(wù)等目的，通常會(huì)在后臺(tái)收集用戶的網(wǎng)頁瀏覽記錄等個(gè)人信息上傳到服務(wù)器。然而許多收集用戶個(gè)人信息的行為是在用戶不知情的情況下進(jìn)行的，或者所收集的信息超出了軟件《安裝許可協(xié)議》中進(jìn)行了明確規(guī)定的范圍。

　　實(shí)驗(yàn)室以360安全瀏覽器當(dāng)前最新版本5.0為例，對瀏覽器的用戶隱私泄露問題進(jìn)行了分析和研究，網(wǎng)絡(luò)瀏覽器中的隱私泄露威脅存在于以下幾個(gè)方面：

　　1)預(yù)留后門，植入代碼：一些瀏覽器在使用過程中會(huì)在用戶不知情的情況下在后臺(tái)執(zhí)行《安裝許可協(xié)議》規(guī)定內(nèi)容之外的功能，360安全瀏覽器在運(yùn)行過程中約每5分鐘與服務(wù)端進(jìn)行一次通信，并下載一個(gè)文件，如下圖所示，下載的文件為se.#/cloud/cset18.ini，但是從數(shù)據(jù)流可以看出該文件實(shí)際上是一個(gè)PE文件，文件頭中標(biāo)識(shí)的產(chǎn)品名稱為DataDll。

　　將該文件從數(shù)據(jù)流中提取出來得到一個(gè)dll文件，查看該文件的屬性，得到其文件說明為“360安全瀏覽器 安全網(wǎng)銀”。

　　從該文件中提取到一段Base64編碼的文本信息：

　　W3N0XQ0KY291bnQ9Mg0KW3N0MV0NCmlkPTENCnVybD1odHRwOi8vd3d3L

　　經(jīng)過解碼后的內(nèi)容為：

　　[st]

　　count=2

　　[st1]

　　id=1

　　url=http://www.baidu.com/search/ressafe.html*

　　[st2]

　　id=2

　　url=http://verify.baidu.com/vcode?*

　　[traymsg]

　　staticsid=31

　　count = 1

　　url1=http://www.baidu.com/search/ressafe.html*

　　[main]

　　hkres2=1

　　cbc=1

　　[cbc]

　　urlcount=1

　　url1=http://www.baidu.com/search/ressafe.html*

　　cbccount=2

　　c1=BAIDUID

　　c2=BDUSS

　　由此可推測該DLL文件的功能與網(wǎng)銀無任何關(guān)系，而是跟搜索引擎百度相關(guān)可能是為了躲避Referer字段的檢查。這種行為雖然不涉及用戶隱私，但是具有欺騙性。

　　此外，360安全瀏覽器還會(huì)在用戶不知情的情況下定期從服務(wù)端下載和執(zhí)行一個(gè)名為“ExtSmartWiz.dll”的動(dòng)態(tài)鏈接庫。如果該動(dòng)態(tài)鏈接庫被植入惡意功能或者不法分子利用域名劫持等方法對瀏覽器下載的“ExtSmartWiz.dll”文件進(jìn)行惡意篡改，將會(huì)給用戶安全帶來嚴(yán)重危害。

　　2)收集用戶瀏覽記錄：很多瀏覽器會(huì)將用戶所打開的頁面地址上傳到服務(wù)器，以分析用戶的個(gè)人愛好或者統(tǒng)計(jì)網(wǎng)站的受歡迎度，從而在瀏覽器首頁更好地為用戶推薦個(gè)性化內(nèi)容。這種行為也侵犯了用戶的隱私數(shù)據(jù)。下圖為當(dāng)用戶使用360安全瀏覽器5.0訪問網(wǎng)頁的時(shí)候，每打開一個(gè)網(wǎng)頁之后都會(huì)向360的特定服務(wù)器發(fā)送一個(gè)POST請求，內(nèi)容包含加密過的url信息。

　　3)收集瀏覽器地址欄輸入信息：當(dāng)用戶在瀏覽器地址欄中輸入網(wǎng)址的時(shí)候，很多瀏覽器為了幫助用戶自動(dòng)補(bǔ)全網(wǎng)址，會(huì)把用戶所輸入的內(nèi)容上傳到服務(wù)器來。下圖為當(dāng)用戶在360安全瀏覽器5.0的地址欄中輸入“10.105.240.57”時(shí)，瀏覽器會(huì)將該地址發(fā)送到sug.so.#，并且發(fā)送時(shí)附帶的Cookie中會(huì)帶有具有用戶唯一性標(biāo)志的guid值，這可能會(huì)導(dǎo)致特定用戶的地址欄輸入以及瀏覽記錄被跟蹤和泄漏。

　　當(dāng)用戶在360安全瀏覽器5.0的地址欄中輸入“weibo.com”的過程中，每輸入一個(gè)字符，瀏覽器就會(huì)向sug.so.#發(fā)送當(dāng)前瀏覽器地址欄中的內(nèi)容(即“w”、“we”、“wei”、“weib”、“weibo”、“weibo。”、“weibo.c”、“weibo.co”、

.