“這將會給用戶安全帶來嚴重危害”，《上海青年報》援引一位與會專家觀點稱。

此前，工信部曾公開宣布將對360安全問題展開調查，但目前尚沒有權威機構出臺令人信服的調查結果。中科院作為信息研究的專業機構，此次所出具的該項報告，或將成為推動該問題解決的重要依據。

《上海青年報》還從會上獲悉，中科院針對當前互聯網常用產品及服務的隱私保護問題進行了整體研究，涉及瀏覽器、即時通訊、電子商務、社區網站等多個類別。從記者輾轉獲得的報告原文來看，在瀏覽器隱私保護情況的研究章節里，中科院信息工程研究所研究人員對360安全瀏覽器進行了詳細的研究和分析，并歸納列舉出360安全瀏覽器存在的三大安全問題，其中包括： 收集用戶所打開過的瀏覽頁面地址、收集用戶在瀏覽器地址欄輸入的信息以及預留后臺端口，在用戶不知情的情況利用云端指令，在后臺執行《安裝許可協議》規定內容之外的功能等。

調查中，研究人員通過專業技術手段對整個軟件運行過程及環境進行了綜合測試，證實了360確實存在安全問題，并在實驗室進行了多次復現。研究人員在報告中舉例稱，當用戶在360安全瀏覽器地址欄中輸入一個完整的網址時，360瀏覽器會向360公司的特定服務器依次發送用戶的每一次輸入數據直至輸入完成，發送的信息包含了能夠確定用戶唯一性的id，這可能會導致特定用戶的地址欄輸入以及瀏覽記錄容易被跟蹤和泄漏。另有分析顯示，“這些組件或以欺騙的方式被下載到電腦以實現360安全瀏覽器的某些未明示的功能，也可能造成用戶的電腦被惡意侵入”。

實際上，在過去數月，360安全軟件一直深陷安全及隱私泄漏漩渦，飽受來自網民、媒體、意見領袖和主管部門的質疑。知名打假人士方舟子也就安全問題對360軟件發出連番質疑，指稱360私自竊取用戶隱私、偽裝系統補丁、捆綁安裝軟件以及360通過“云控制”遠程操控用戶電腦等。盡管360 方面并未正面回應這些問題和質疑，僅僅將其歸為“競爭對手迫害”，但層出不窮的真實案例，仍然引發大量用戶關注并卸載360，一些世界500強企業也內部通知禁用360全系產品。根據cnzz 新發布的數據，自方舟子開始打假360以來， 360瀏覽器的市場份額下降了1.6%，保守估計流失用戶1000萬。

面對沸沸揚揚的“360隱私泄露門”， 10月25日，工信部新聞發言人、通信發展司司長張峰表示，工信部已經介入調查方舟子指控的奇虎360瀏覽器竊取用戶隱私一事，“如果查實確有違法違規行為，將依法予以嚴肅處理”。360方面隨即宣布將主動將產品送至國家質檢總局和工信部檢驗。

對于360的主動“送檢”， 互聯網威懾防御(idf)實驗室創始人、安全專家萬濤認為作用不大。萬濤指出，360使用的是云端控制技術，單檢測桌面軟件很難檢測到問題，對整個過程與環境進行檢測評估才能更好地說明問題。

中國人民大學教授石文昌曾表示，如果安全軟件不遵守軟件安全機制設計的重要原則之一 -- 小特權原則(polp，principle of least privilege)，而是利用特殊權限，進行非功能實現所必須的操作，其對系統權限的濫用將影響到用戶系統的信息安全。

相關與會專家表示，“根據此次中科院的研究報告，和之前社會各界對360軟件安全性的質疑，360公司以安全為名、行盜取泄漏用戶隱私之實的一系列行為，已經嚴重違反了工信部2011年第20號令頒布并于2012年3月15日實施的《規范互聯網信息服務市場秩序若干規定》中的相應條款”。

該《個人隱私泄露風險的技術研究報告》標明“v1.0”，發布者為“中國科學院信息工程研究所保密技術攻防重點實驗室”，發布時間是2012年11月。

以下為《個人隱私泄露風險的技術研究報告v1.0》的部分內容：

前言

隨著國內外個人隱私泄露事件的頻繁發生和對個人隱私保護的重視，人們越來越關注日常工作生活中計算機軟件、移動終端以及高技術帶來的個人隱私問題。中國科學院信息工程研究所保密技術攻防重點實驗室對當前常用軟件和終端產品的用戶隱私保護情況進行了初步調查，通過實驗研究發現了一些有關隱私保護存在的風險。本文主要從常用軟件、網絡服務、移動終端以及聲光電磁等四個方面介紹了實驗室的研究結果和發現。文中內容注重實例研究和數據再現，希望引起有關部門對個人隱私相關問題的關注。

本文得到了北京大學互聯網安全技術北京市重點實驗室的幫助。

1 終端常用軟件與用戶隱私保護

1.1網絡瀏覽器

許多網絡瀏覽器為了增強用戶體驗、提供個性化服務、發展定向廣告業務等目的，通常會在后臺收集用戶的網頁瀏覽記錄等個人信息上傳到服務器。然而許多收集用戶個人信息的行為是在用戶不知情的情況下進行的，或者所收集的信息超出了軟件《安裝許可協議》中進行了明確規定的范圍。

實驗室以360安全瀏覽器當前 新版本5.0為例，對瀏覽器的用戶隱私泄露問題進行了分析和研究，網絡瀏覽器中的隱私泄露威脅存在于以下幾個方面：

1)預留后門，植入代碼：一些瀏覽器在使用過程中會在用戶不知情的情況下在后臺執行《安裝許可協議》規定內容之外的功能，360安全瀏覽器在運行過程中約每5分鐘與服務端進行一次通信，并下載一個文件，如下圖所示，下載的文件為se.360.cn/cloud/cset18.ini，但是從數據流可以看出該文件實際上是一個pe文件，文件頭中標識的產品名稱為datadll。

圖1-1

將該文件從數據流中提取出來得到一個dll文件，查看該文件的屬性，得到其文件說明為“360安全瀏覽器 安全網銀”。

圖1-2

從該文件中提取到一段base64編碼的文本信息：

w3n0xq0ky291bnq9mg0kw3n0mv0ncmlkptencnvybd1odhrwoi8vd3d3lmjhawr1lmnvbs9zzwfyy2gvcmvzc2fmzs5odg1skg0kw3n0ml0ncmlkptincnvybd1odhrwoi8vdmvyawz5lmjhawr1lmnvbs92y29kzt8qdqpbdhjhew1zz10ncnn0yxrpy3npzd0zmq0ky291bnqgpsaxdqp1cmwxpwh0dha6ly93d3cuymfpzhuuy29tl3nlyxjjac9yzxnzywzllmh0bwwqdqpbbwfpbl0ncmhrcmvzmj0xdqpjymm9mq0kw2niy10ncnvybgnvdw50ptencnvybde9ahr0cdovl3d3dy5iywlkds5jb20vc2vhcmnol3jlc3nhzmuuahrtbconcmniy2nvdw50ptincmmxpujbsurvsuqncmmypujevvnt

經過解碼后的內容為：

[st]

count=2

[st1]

id=1

url=http://www.baidu.com/search/ressafe.html*

[st2]

id=2

url=http://verify.baidu.com/vcode?*

[traymsg]

staticsid=31

count = 1

url1=http://www.baidu.com/search/ressafe.html*

[main]

hkres2=1

cbc=1

[cbc]

urlcount=1

url1=http://www.baidu.com/search/ressafe.html*

cbccount=2

c1=baiduid

c2=bduss

由此可推測該dll文件的功能與網銀無任何關系，而是跟搜索引擎百度相關可能是為了躲避referer字段的檢查。這種行為雖然不涉及用戶隱私，但是具有欺騙性。

此外，360安全瀏覽器還會在用戶不知情的情況下定期從服務端下載和執行一個名為“extsmartwiz.dll”的動態鏈接庫。如果該動態鏈接庫被植入惡意功能或者不法分子利用域名劫持等方法對瀏覽器下載的“extsmartwiz.dll”文件進行惡意篡改，將會給用戶安全帶來嚴重危害。

2)收集用戶瀏覽記錄：很多瀏覽器會將用戶所打開的頁面地址上傳到服務器，以分析用戶的個人愛好或者統計網站的受歡迎度，從而在瀏覽器首頁更好地為用戶推薦個性化內容。這種行為也侵犯了用戶的隱私數據。下圖為當用戶使用360安全瀏覽器5.0訪問網頁的時候，每打開一個網頁之后都會向360的特定服務器發送一個post請求，內容包含加密過的url信息。

圖1-3

3)收集瀏覽器地址欄輸入信息：當用戶在瀏覽器地址欄中輸入網址的時候，很多瀏覽器為了幫助用戶自動補全網址，會把用戶所輸入的內容上傳到服務器來。下圖為當用戶在360安全瀏覽器5.0的地址欄中輸入“10.105.240.57”時，瀏覽器會將該地址發送到sug.so.360.cn，并且發送時附帶的cookie中會帶有具有用戶唯一性標志的guid值，這可能會導致特定用戶的地址欄輸入以及瀏覽記錄被跟蹤和泄漏。

圖1-4

下圖所示為當用戶在360安全瀏覽器5.0的地址欄中輸入“weibo.com”的過程中，每輸入一個字符，瀏覽器就會向 sug.so.360.cn發送當前瀏覽器地址欄中的內容(即“w”、“we”、“wei”、“weib”、“weibo”、“weibo。”、 “weibo.c”、“weibo.co”、“weibo.com”)。

圖1-5

相關文章

• 上一篇： Windows 8資源管理器詳解
• 下一篇： 新版iPhone4S/iPad2越獄工具Absinthe 0.4