|
|
360瀏覽器侵犯用戶隱私話題再次引人關(guān)注。據(jù)《上海青年報》11月23日報道�,中國科學院信息工程研究所主辦的“隱私保護”學術(shù)研討會在京召開。會上一份由中科院保密技術(shù)攻防重點實驗室研究撰寫的《個人隱私泄露風險的技術(shù)研究報告》報告揭示:一直以安全為名的360瀏覽器在架構(gòu)設(shè)計、運作原理方面竟然存在著三大隱私安全問題���,將會給用戶安全帶來嚴重危害�。
“這將會給用戶安全帶來嚴重危害”�,《上海青年報》援引一位與會專家觀點稱。
此前����,工信部曾公開宣布將對360安全問題展開調(diào)查,但目前尚沒有權(quán)威機構(gòu)出臺令人信服的調(diào)查結(jié)果�����。中科院作為信息研究的專業(yè)機構(gòu)�,此次所出具的該項報告,或?qū)⒊蔀橥苿釉搯栴}解決的重要依據(jù)��。
《上海青年報》還從會上獲悉�,中科院針對當前互聯(lián)網(wǎng)常用產(chǎn)品及服務(wù)的隱私保護問題進行了整體研究,涉及瀏覽器�、即時通訊���、電子商務(wù)���、社區(qū)網(wǎng)站等多個類別����。從記者輾轉(zhuǎn)獲得的報告原文來看�,在瀏覽器隱私保護情況的研究章節(jié)里,中科院信息工程研究所研究人員對360安全瀏覽器進行了詳細的研究和分析��,并歸納列舉出360安全瀏覽器存在的三大安全問題���,其中包括: 收集用戶所打開過的瀏覽頁面地址�、收集用戶在瀏覽器地址欄輸入的信息以及預留后臺端口����,在用戶不知情的情況利用云端指令,在后臺執(zhí)行《安裝許可協(xié)議》規(guī)定內(nèi)容之外的功能等����。
調(diào)查中,研究人員通過專業(yè)技術(shù)手段對整個軟件運行過程及環(huán)境進行了綜合測試�,證實了360確實存在安全問題,并在實驗室進行了多次復現(xiàn)���。研究人員在報告中舉例稱�,當用戶在360安全瀏覽器地址欄中輸入一個完整的網(wǎng)址時,360瀏覽器會向360公司的特定服務(wù)器依次發(fā)送用戶的每一次輸入數(shù)據(jù)直至輸入完成���,發(fā)送的信息包含了能夠確定用戶唯一性的ID��,這可能會導致特定用戶的地址欄輸入以及瀏覽記錄容易被跟蹤和泄漏���。另有分析顯示,“這些組件或以欺騙的方式被下載到電腦以實現(xiàn)360安全瀏覽器的某些未明示的功能���,也可能造成用戶的電腦被惡意侵入”����。
實際上�,在過去數(shù)月,360安全軟件一直深陷安全及隱私泄漏漩渦�,飽受來自網(wǎng)民、媒體�、意見領(lǐng)袖和主管部門的質(zhì)疑。知名打假人士方舟子也就安全問題對360軟件發(fā)出連番質(zhì)疑�����,指稱360私自竊取用戶隱私����、偽裝系統(tǒng)補丁、捆綁安裝軟件以及360通過“云控制”遠程操控用戶電腦等���。盡管360方面并未正面回應這些問題和質(zhì)疑�,僅僅將其歸為“競爭對手迫害”�,但層出不窮的真實案例,仍然引發(fā)大量用戶關(guān)注并卸載360���,一些世界500強企業(yè)也內(nèi)部通知禁用360全系產(chǎn)品��。根據(jù)CNZZ最新發(fā)布的數(shù)據(jù)��,自方舟子開始打假360以來���, 360瀏覽器的市場份額下降了1.6%,保守估計流失用戶1000萬��。
面對沸沸揚揚的“360隱私泄露門”��, 10月25日����,工信部新聞發(fā)言人����、通信發(fā)展司司長張峰表示����,工信部已經(jīng)介入調(diào)查方舟子指控的奇虎360瀏覽器竊取用戶隱私一事,“如果查實確有違法違規(guī)行為����,將依法予以嚴肅處理”。360方面隨即宣布將主動將產(chǎn)品送至國家質(zhì)檢總局和工信部檢驗��。
對于360的主動“送檢”���, 互聯(lián)網(wǎng)威懾防御(IDF)實驗室創(chuàng)始人�����、安全專家萬濤認為作用不大��。萬濤指出��,360使用的是云端控制技術(shù)��,單檢測桌面軟件很難檢測到問題,對整個過程與環(huán)境進行檢測評估才能更好地說明問題。
中國人民大學教授石文昌曾表示,如果安全軟件不遵守軟件安全機制設(shè)計的重要原則之一 -- 最小特權(quán)原則(POLP,principle of least privilege)��,而是利用特殊權(quán)限����,進行非功能實現(xiàn)所必須的操作���,其對系統(tǒng)權(quán)限的濫用將影響到用戶系統(tǒng)的信息安全����。
相關(guān)與會專家表示��,“根據(jù)此次中科院的研究報告��,和之前社會各界對360軟件安全性的質(zhì)疑�����,360公司以安全為名�、行盜取泄漏用戶隱私之實的一系列行為,已經(jīng)嚴重違反了工信部2011年第20號令頒布并于2012年3月15日實施的《規(guī)范互聯(lián)網(wǎng)信息服務(wù)市場秩序若干規(guī)定》中的相應條款”�����。
該《個人隱私泄露風險的技術(shù)研究報告》標明“V1.0”,發(fā)布者為“中國科學院信息工程研究所保密技術(shù)攻防重點實驗室”���,發(fā)布時間是2012年11月����。
以下為《個人隱私泄露風險的技術(shù)研究報告V1.0》的部分內(nèi)容:
前言
隨著國內(nèi)外個人隱私泄露事件的頻繁發(fā)生和對個人隱私保護的重視����,人們越來越關(guān)注日常工作生活中計算機軟件、移動終端以及高技術(shù)帶來的個人隱私問題�。中國科學院信息工程研究所保密技術(shù)攻防重點實驗室對當前常用軟件和終端產(chǎn)品的用戶隱私保護情況進行了初步調(diào)查,通過實驗研究發(fā)現(xiàn)了一些有關(guān)隱私保護存在的風險��。本文主要從常用軟件����、網(wǎng)絡(luò)服務(wù)、移動終端以及聲光電磁等四個方面介紹了實驗室的研究結(jié)果和發(fā)現(xiàn)��。文中內(nèi)容注重實例研究和數(shù)據(jù)再現(xiàn)���,希望引起有關(guān)部門對個人隱私相關(guān)問題的關(guān)注�����。
本文得到了北京大學互聯(lián)網(wǎng)安全技術(shù)北京市重點實驗室的幫助�����。
1 終端常用軟件與用戶隱私保護
1.1網(wǎng)絡(luò)瀏覽器
許多網(wǎng)絡(luò)瀏覽器為了增強用戶體驗�����、提供個性化服務(wù)�����、發(fā)展定向廣告業(yè)務(wù)等目的�����,通常會在后臺收集用戶的網(wǎng)頁瀏覽記錄等個人信息上傳到服務(wù)器��。然而許多收集用戶個人信息的行為是在用戶不知情的情況下進行的��,或者所收集的信息超出了軟件《安裝許可協(xié)議》中進行了明確規(guī)定的范圍�����。
實驗室以360安全瀏覽器當前最新版本5.0為例�,對瀏覽器的用戶隱私泄露問題進行了分析和研究,網(wǎng)絡(luò)瀏覽器中的隱私泄露威脅存在于以下幾個方面:
1)預留后門�,植入代碼:一些瀏覽器在使用過程中會在用戶不知情的情況下在后臺執(zhí)行《安裝許可協(xié)議》規(guī)定內(nèi)容之外的功能,360安全瀏覽器在運行過程中約每5分鐘與服務(wù)端進行一次通信����,并下載一個文件,如下圖所示��,下載的文件為se.#/cloud/cset18.ini����,但是從數(shù)據(jù)流可以看出該文件實際上是一個PE文件,文件頭中標識的產(chǎn)品名稱為DataDll����。
將該文件從數(shù)據(jù)流中提取出來得到一個dll文件,查看該文件的屬性��,得到其文件說明為“360安全瀏覽器 安全網(wǎng)銀”���。
從該文件中提取到一段Base64編碼的文本信息:
W3N0XQ0KY291bnQ9Mg0KW3N0MV0NCmlkPTENCnVybD1odHRwOi8vd3d3L
經(jīng)過解碼后的內(nèi)容為:
[st]
count=2
[st1]
id=1
url=http://www.baidu.com/search/ressafe.html*
[st2]
id=2
url=http://verify.baidu.com/vcode?*
[traymsg]
staticsid=31
count = 1
url1=http://www.baidu.com/search/ressafe.html*
[main]
hkres2=1
cbc=1
[cbc]
urlcount=1
url1=http://www.baidu.com/search/ressafe.html*
cbccount=2
c1=BAIDUID
c2=BDUSS
由此可推測該DLL文件的功能與網(wǎng)銀無任何關(guān)系���,而是跟搜索引擎百度相關(guān)可能是為了躲避Referer字段的檢查。這種行為雖然不涉及用戶隱私,但是具有欺騙性���。
此外����,360安全瀏覽器還會在用戶不知情的情況下定期從服務(wù)端下載和執(zhí)行一個名為“ExtSmartWiz.dll”的動態(tài)鏈接庫����。如果該動態(tài)鏈接庫被植入惡意功能或者不法分子利用域名劫持等方法對瀏覽器下載的“ExtSmartWiz.dll”文件進行惡意篡改,將會給用戶安全帶來嚴重危害��。
2)收集用戶瀏覽記錄:很多瀏覽器會將用戶所打開的頁面地址上傳到服務(wù)器�����,以分析用戶的個人愛好或者統(tǒng)計網(wǎng)站的受歡迎度���,從而在瀏覽器首頁更好地為用戶推薦個性化內(nèi)容。這種行為也侵犯了用戶的隱私數(shù)據(jù)���。下圖為當用戶使用360安全瀏覽器5.0訪問網(wǎng)頁的時候�����,每打開一個網(wǎng)頁之后都會向360的特定服務(wù)器發(fā)送一個POST請求��,內(nèi)容包含加密過的url信息�����。
3)收集瀏覽器地址欄輸入信息:當用戶在瀏覽器地址欄中輸入網(wǎng)址的時候���,很多瀏覽器為了幫助用戶自動補全網(wǎng)址����,會把用戶所輸入的內(nèi)容上傳到服務(wù)器來�。下圖為當用戶在360安全瀏覽器5.0的地址欄中輸入“10.105.240.57”時,瀏覽器會將該地址發(fā)送到sug.so.#�����,并且發(fā)送時附帶的Cookie中會帶有具有用戶唯一性標志的guid值�,這可能會導致特定用戶的地址欄輸入以及瀏覽記錄被跟蹤和泄漏。
當用戶在360安全瀏覽器5.0的地址欄中輸入“weibo.com”的過程中�����,每輸入一個字符���,瀏覽器就會向sug.so.#發(fā)送當前瀏覽器地址欄中的內(nèi)容(即“w”��、“we”�、“wei”、“weib”�、“weibo”、“weibo����。”�����、“weibo.c”����、“weibo.co”�����、
. |
|
IP卡
狗仔卡
發(fā)表于 2012-11-23 12:59:58
QQ好友和群
收藏
轉(zhuǎn)播
分享
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡