中科院报告揭示:360产品存在三大隐私安全问题

2012年11月24日 | 分类: 乱七八糟 | 标签: ,

360浏览器侵犯用户隐私话题再次引人关注。据《上海青年报》11月23日报道,中国科学院信息工程研究所主办的“隐私保护”学术研讨会在京召开。 会上一份由中科院保密技术攻防重点实验室研究撰写的《个人隐私泄露风险的技术研究报告》报告揭示:一直以安全为名的360浏览器在架构设计、运作原理方面 竟然存在着三大隐私安全问题,将会给用户安全带来严重危害。

  “这将会给用户安全带来严重危害”,《上海青年报》援引一位与会专家观点称。

此前,工信部曾公开宣布将对360安全问题展开调查,但目前尚没有权威机构出台令人信服的调查结果。中科院作为信息研究的专业机构,此次所出具的该项报告,或将成为推动该问题解决的重要依据。

《上海青年报》还从会上获悉,中科院针对当前互联网常用产品及服务的隐私保护问题进行了整体研究,涉及浏览器、即时通讯、电子商务、社区网站等 多个类别。从记者辗转获得的报告原文来看,在浏览器隐私保护情况的研究章节里,中科院信息工程研究所研究人员对360安全浏览器进行了详细的研究和分析, 并归纳列举出360安全浏览器存在的三大安全问题,其中包括: 收集用户所打开过的浏览页面地址、收集用户在浏览器地址栏输入的信息以及预留后台端口,在用户不知情的情况利用云端指令,在后台执行《安装许可协议》规定 内容之外的功能等。

调查中,研究人员通过专业技术手段对整个软件运行过程及环境进行了综合测试,证实了360确实存在安全问题,并在实验室进行了多次复现。研究人 员在报告中举例称,当用户在360安全浏览器地址栏中输入一个完整的网址时,360浏览器会向360公司的特定服务器依次发送用户的每一次输入数据直至输 入完成,发送的信息包含了能够确定用户唯一性的ID,这可能会导致特定用户的地址栏输入以及浏览记录容易被跟踪和泄漏。另有分析显示,“这些组件或以欺骗 的方式被下载到电脑以实现360安全浏览器的某些未明示的功能,也可能造成用户的电脑被恶意侵入”。

实际上,在过去数月,360安全软件一直深陷安全及隐私泄漏漩涡,饱受来自网民、媒体、意见领袖和主管部门的质疑。知名打假人士方舟子也就安全 问题对360软件发出连番质疑,指称360私自窃取用户隐私、伪装系统补丁、捆绑安装软件以及360通过“云控制”远程操控用户电脑等。尽管360方面并 未正面回应这些问题和质疑,仅仅将其归为“竞争对手迫害”,但层出不穷的真实案例,仍然引发大量用户关注并卸载360,一些世界500强企业也内部通知禁 用360全系产品。根据CNZZ最新发布的数据,自方舟子开始打假360以来, 360浏览器的市场份额下降了1.6%,保守估计流失用户1000万。

面对沸沸扬扬的“360隐私泄露门”, 10月25日,工信部新闻发言人、通信发展司司长张峰表示,工信部已经介入调查方舟子指控的奇虎360浏览器窃取用户隐私一事,“如果查实确有违法违规行 为,将依法予以严肃处理”。360方面随即宣布将主动将产品送至国家质检总局和工信部检验。

对于360的主动“送检”, 互联网威慑防御(IDF)实验室创始人、安全专家万涛认为作用不大。万涛指出,360使用的是云端控制技术,单检测桌面软件很难检测到问题,对整个过程与环境进行检测评估才能更好地说明问题。

中国人民大学教授石文昌曾表示,如果安全软件不遵守软件安全机制设计的重要原则之一 — 最小特权原则(POLP,principle of least privilege),而是利用特殊权限,进行非功能实现所必须的操作,其对系统权限的滥用将影响到用户系统的信息安全。

相关与会专家表示,“根据此次中科院的研究报告,和之前社会各界对360软件安全性的质疑,360公司以安全为名、行盗取泄漏用户隐私之实的一 系列行为,已经严重违反了工信部2011年第20号令颁布并于2012年3月15日实施的《规范互联网信息服务市场秩序若干规定》中的相应条款”。

该《个人隐私泄露风险的技术研究报告》标明“V1.0”,发布者为“中国科学院信息工程研究所保密技术攻防重点实验室”,发布时间是2012年11月。

  以下为《个人隐私泄露风险的技术研究报告V1.0》的部分内容:

  前言

随着国内外个人隐私泄露事件的频繁发生和对个人隐私保护的重视,人们越来越关注日常工作生活中计算机软件、移动终端以及高技术带来的个人隐私问 题。中国科学院信息工程研究所保密技术攻防重点实验室对当前常用软件和终端产品的用户隐私保护情况进行了初步调查,通过实验研究发现了一些有关隐私保护存 在的风险。本文主要从常用软件、网络服务、移动终端以及声光电磁等四个方面介绍了实验室的研究结果和发现。文中内容注重实例研究和数据再现,希望引起有关 部门对个人隐私相关问题的关注。

本文得到了北京大学互联网安全技术北京市重点实验室的帮助。

1 终端常用软件与用户隐私保护

1.1网络浏览器

许多网络浏览器为了增强用户体验、提供个性化服务、发展定向广告业务等目的,通常会在后台收集用户的网页浏览记录等个人信息上传到服务器。然而 许多收集用户个人信息的行为是在用户不知情的情况下进行的,或者所收集的信息超出了软件《安装许可协议》中进行了明确规定的范围。

实验室以360安全浏览器当前最新版本5.0为例,对浏览器的用户隐私泄露问题进行了分析和研究,网络浏览器中的隐私泄露威胁存在于以下几个方面:

1)预留后门,植入代码:一些浏览器在使用过程中会在用户不知情的情况下在后台执行《安装许可协议》规定内容之外的功能,360安全浏览器在运 行过程中约每5分钟与服务端进行一次通信,并下载一个文件,如下图所示,下载的文件为se.360.cn/cloud/cset18.ini,但是从数据 流可以看出该文件实际上是一个PE文件,文件头中标识的产品名称为DataDll。

 

  图1-1

  将该文件从数据流中提取出来得到一个dll文件,查看该文件的属性,得到其文件说明为“360安全浏览器 安全网银”。

 

  图1-2

  从该文件中提取到一段Base64编码的文本信息:

W3N0XQ0KY291bnQ9Mg0KW3N0MV0NCmlkPTENCnVybD1odHRwOi8vd3d3LmJhaWR1LmNvbS9zZWFyY2gvcmVzc2FmZS5odG1sKg0KW3N0Ml0NCmlkPTINCnVybD1odHRwOi8vdmVyaWZ5LmJhaWR1LmNvbS92Y29kZT8qDQpbdHJheW1zZ10NCnN0YXRpY3NpZD0zMQ0KY291bnQgPSAxDQp1cmwxPWh0dHA6Ly93d3cuYmFpZHUuY29tL3NlYXJjaC9yZXNzYWZlLmh0bWwqDQpbbWFpbl0NCmhrcmVzMj0xDQpjYmM9MQ0KW2NiY10NCnVybGNvdW50PTENCnVybDE9aHR0cDovL3d3dy5iYWlkdS5jb20vc2VhcmNoL3Jlc3NhZmUuaHRtbCoNCmNiY2NvdW50PTINCmMxPUJBSURVSUQNCmMyPUJEVVNT

经过解码后的内容为:

[st]

count=2

[st1]

id=1

url=http://www.baidu.com/search/ressafe.html*

[st2]

id=2

url=http://verify.baidu.com/vcode?*

[traymsg]

staticsid=31

count = 1

url1=http://www.baidu.com/search/ressafe.html*

[main]

hkres2=1

cbc=1

[cbc]

urlcount=1

url1=http://www.baidu.com/search/ressafe.html*

cbccount=2

c1=BAIDUID

c2=BDUSS

由此可推测该DLL文件的功能与网银无任何关系,而是跟搜索引擎百度相关可能是为了躲避Referer字段的检查。这种行为虽然不涉及用户隐私,但是具有欺骗性。

此外,360安全浏览器还会在用户不知情的情况下定期从服务端下载和执行一个名为“ExtSmartWiz.dll”的动态链接库。如果该动态 链接库被植入恶意功能或者不法分子利用域名劫持等方法对浏览器下载的“ExtSmartWiz.dll”文件进行恶意篡改,将会给用户安全带来严重危害。

2)收集用户浏览记录:很多浏览器会将用户所打开的页面地址上传到服务器,以分析用户的个人爱好或者统计网站的受欢迎度,从而在浏览器首页更好 地为用户推荐个性化内容。这种行为也侵犯了用户的隐私数据。下图为当用户使用360安全浏览器5.0访问网页的时候,每打开一个网页之后都会向360的特 定服务器发送一个POST请求,内容包含加密过的url信息。

 

  图1-3

  3)收集浏览器地址栏输入信息:当用户在浏览器地址栏中输入网址的时候,很多浏览器为了帮助用户自动补全网址,会把用户所输入的内容上传到服务 器来。下图为当用户在360安全浏览器5.0的地址栏中输入“10.105.240.57”时,浏览器会将该地址发送到sug.so.360.cn,并且 发送时附带的Cookie中会带有具有用户唯一性标志的guid值,这可能会导致特定用户的地址栏输入以及浏览记录被跟踪和泄漏。

 

  图1-4

  下图所示为当用户在360安全浏览器5.0的地址栏中输入“weibo.com”的过程中,每输入一个字符,浏览器就会向 sug.so.360.cn发送当前浏览器地址栏中的内容(即“w”、“we”、“wei”、“weib”、“weibo”、“weibo.”、 “weibo.c”、“weibo.co”、“weibo.com”)。

图1-5
图1-5

 

【作者:《财经》综合报道 】 (编辑:吕强)
  1. 美分
    2012年11月27日14:18

    在親戚家的電腦屏幕前看著360哀嘆,中國特色萬碎

  2. windarrow_
    2012年11月26日11:18

    http://www.iie.ac.cn/xwdt/tzgg/201211/t20121123_3688488.html
    真假难辨啊。
    反正翻墙,只看不说,不会被请喝茶的吧。
    真要说什么的时候,就用winPE系统,+不记名的3G上网卡 + 不记名的3G上网设备 + 无需注册的vpn.

    • mick
      2012年11月26日17:39

      光是VPN不行, 怎么也得VPN+Tor或者VPN+无界(自由门)。
      国产的需要联网的软件, 能不用尽量不用, 反正有不少国外同类软件代替。

    • mick
      2012年11月26日17:42

      中科院现在发这个声明, 其实有点此地无银三百两。
      360的东西, 早就有人分析过, 问题很多。 周鸿祎的背景跟国安有密切关系, 360就是给国安服务的。 腾讯也不差不多。
      这些网霸, 自然中科院的什么研究所是惹不起的。

  3. 2012年11月25日22:31

    还记得今年这条新闻不?天朝的软件都一样

    2012年5月14日 – 核心提示:5月10日,云南巧家县一处便民服务厅爆炸致4死16伤。14日 … 云南巧家将嫌犯2年前网聊记录作为证据 …..

    • mick
      2012年11月26日11:38

      多半是聊QQ 。 腾讯的任何产品, 都要小心。
      迅雷 要阻止其磁盘底层访问硬盘 , 阻止其随意读写文件

  4. Mr.Koala
    2012年11月25日22:23

      卸载 360 之后基本都回到 IE8 了,依然是前端工程狮的噩梦啊…… goo.gl/nn17s (StatCounter 数据)

    • mick
      2012年11月26日11:18

      真是可笑, 中国网民似乎是与世隔绝的? 不知道从什么时候开始,所谓360“安全”浏览器就风靡全国了 …
      火狐不能用? Opera不能用? Chrome不能用? 怎么对于很多人来说, 除了IE就是360?
      我从来不用360的任何产品 , 360出品的所谓安全浏览器在我看来就是一个笑话, 360开发的能“安全”?
      从浏览器的选用上,就可以看出中国网民的从众心理、羊群效应以及缺乏独立思维、人云亦云

      • 2012年11月26日12:32

        360安全浏览器确实很安全。
        只不过它是站在Government的角度而不是User的角度。

        • mick
          2012年11月26日17:36

          呵呵 , 360“安全浏览器”用户越多, 正腐就安全, user的隐私和自由就越不安全 …
          opera (国际版)放沙盘里运行,适当做一些设置, 已经可以防范很多网马和其他的攻击了。 周鸿祎这个为虎作伥的大流氓, 开发的软件能有好东西?

      • Mr.Koala
        2012年11月27日00:45

          不是“似乎”。真的是与世隔绝。
          Google 在国内没有投什么第三方广告,也没法投,在自身主页被干扰缺少访问的情况下难以实现推广。至于 FF,似乎还是以 geek 群体为核心扩展的,在没有文化环境支持的条件下毫无胜算。Opera 等规模相对小的就不用说了。Chrome 的情况可以算“硬”隔绝,FF 等则是“软”隔绝。软硬兼施,隔绝得很有效果。
          全球范围来看,IE/FF/GC 三大浏览器的使用量已经在相互接近的状态僵持一阵子了,当然 Opera 等也有不小的用户群。对于众多网络服务,尤其是前端人员来说,翻身得解放的好日子已经享受了不少。在大陆,360 掉下去之后 IE 系列 9 之前的版本占了约一半,剩下的不少是 IE 内核的马甲,也就是说还是 IE6-8 。于是干前端的还得指望着苹果多卖点,有足够的果粉用 Safari …… [囧.gif] 至于那些不在大陆的服务,这事本来就跟他们没关系,无所谓了。

  5. xiaokangwang
    2012年11月24日18:45

    /*
    我认为任何一个翻墙软件应该有下面的代码
    */
    #include
    #include//我编的文件名,到现在不存在
    int main()
    {
    if(!IsUseQiHu360()){
    //开始正常翻墙
    }
    else
    {
    std::cout<<"Sorry, We think you are using QiHu360, a software tell government what you do on your computer, ignore GFW in this environment is VERY dangerous.So, we are going to quit.Uninstall QiHu360 and try again is okay."std::endl;
    return -1;
    }
    }

  6. 2012年11月24日15:01

    从来不用这货。

  7. AS
    2012年11月24日14:05

    New ver.:breakwall
    https://code.google.com/p/breakwall/downloads/list
    “bw384.jpg bw384 24 hours ago 24 hours ago 51.7 KB
    ver20121123.jpg versions 20121123 25 hours ago 25 hours ago 61.6 KB
    bw384.dmg.zip Break Wall 3.8.4: 2012.11.23 Featured 25 hours ago 25 hours ago 17.8 MB ”

    2012年11月24日

  8. 基友
    2012年11月24日13:55

    博主,现在用socks代理还能不能翻墙啊?如果能翻墙的话,用什么socks软件呢?求解

    • iGFW
      2012年11月24日21:01

      这个不清楚,没有测试过

  9. maoyipeng
    2012年11月24日11:25

    mac os用户表示360没用过

  10. 福音乐章
    2012年11月24日10:15

    从来不用360的路过。
    我自从有了VPS,就不在有360的电脑上用putty,不去登录Mysql。这货万一监听键盘输入,我密码就泄漏了。