奇虎360黑匣子之謎

2013-02-27 11:01 每日經濟新聞

　　黑匣子現身：對用戶個人信息涉嫌暗箱操作/

　　“破解360安全衛士的非法操作，是一件很好玩的貓捉老鼠的事情。”上述黑客向《每日經濟新聞》記者感嘆說，360安全衛士的技術架構非常復雜，組件有很多程序，軟件包有幾十個可執行的程序，還有擴展庫。如果要查清楚是否侵犯用戶隱私，則需要對每個程序進行分析，就像分析病毒一樣地分析每個文件，而這需要投入大量的時間和精力。

　　這名黑客給記者展示了許多“同行”間來往的郵件，此中展現出破解之后的喜悅，以及經驗的交流。

　　而獨立調查員宣稱，他“已基本破解了360安全衛士的謎局，但離發布還為時尚早”，因為他要做“鐵板釘釘的事情”。

　　在《每日經濟新聞》記者保證不會將其操作思路披露的情況下，獨立調查員將其操作的核心步驟進行了詳盡的現場演示。在征得其允諾的情況下，記者可以告知的是：針對360的設置，進行反向操作，反向分析而破解。

　　到目前為止，已經披露的最重要證據為獨立調查員于2012年12月6日在其微博上發布的一個視頻（http:/weibo.com/2902756801/z8BUvfWqe）。這份視頻詳盡地破解了360安全衛士秘密獲取用戶信息的過程。

　　獨立調查員告訴記者，這份13分36秒的視頻以完整的手法記錄了破獲360竊取用戶隱私的證據。它證明了360在用戶電腦中收集、上傳用戶信息的“動作”，“猖狂到任何簡單的、常規的軟件操作行為都將被記錄，與安全問題完全無關，而這些信息都在用戶個人隱私范疇”。

　　但據獨立調查員宣稱，這份視頻資料并非其采集、制作，“而是來自一名自稱是安全領域專家的匿名人士”，他通過微博私信向獨立調查員爆料：自己已經掌握了360安全衛士7.3竊取用戶隱私并上傳到360服務器的司法證據，現在可以無償將這段司法證據給他。

　　而關于這份證據，獨立調查員認為，將是未來給360的“一顆小小的炸彈”，在法庭上是有力的呈堂證供。

　　據記者了解，去年11月28日，在易觀國際主辦的“易士堂”網絡安全論壇（第二季）論壇上，這份視頻資料也曾分享給包括國家信息中心、中國信息安全測評中心等安全業界人士；而最初制作這段視頻并進行司法公證的正是金山安全專家李鐵軍。不過李鐵軍否認自己就是給獨立調查員爆料的匿名人士。

　　據李鐵軍透露，2010年11月，卡飯安全論壇有人爆料稱“360安全衛士7.3的某個版本會竊取用戶隱私上傳到360服務器”，爆料的內容非常簡單，只提供了一個有趣的細節暗示：需要用戶在360loginfo目錄對刪除權限做一個修改才有可能捕捉到360的罪證，帖子不久就消失了。

　　李鐵軍首先嘗試重現帖子描述的問題，而不是對軟件進行逆向分析，經過數月才完成了這一個證據的抓取。

　　“反反復復不知道試了多少回。”李鐵軍對《每日經濟新聞》記者表示，憑借多年的經驗，他終于找到了關鍵所在，比如有竊取隱私問題的360安全衛士版本號為7.3.0.2003l，數字簽名時間為2010年11月8日，要想重現必須將360loginfo訪問權限修改為“所有人不可刪除”；再比如安裝時修改系統時間與2010年11月8日不能相差太久，安裝前須斷開網絡（禁用網卡或拔網線）。

　　即使這樣，也有一些情況在李鐵軍“意料之外”。

　　“開始想到的是禁用網卡和改360loginfo目錄的訪問權限，但奇怪的是，有時能在安裝后幾分鐘內即可在360loginfo目錄看到日志生成，有時等幾小時都不能重現，于是嘗試將系統日期從單數修改為雙數或從雙數修改為單數，結果很快看到奇怪的日志文件出現了。”李鐵軍表示，這幾條重現規則是反復多次嘗試之后才總結出來的。

　　而上述結果也在曝光之后第一時間得到IDF互聯網情報威懾防御實驗室的驗證。2012年11月25日，該實驗室發布報告表示，360安全衛士v7.3.0.2003l所搜集用戶軟件操作信息，對用戶隱私造成風險，若用戶運行某一程序，360安全衛士v7.3.0.2003l會把程序所在路徑搜集并未經加密上傳至360服務器。若360公司所存放信息的數據庫泄露或傳輸數據被黑客截取進行社工分析，可造成用戶的信息泄露。

　　萬濤對《每日經濟新聞》表示，根據之前的評測報告，360安全衛士v7.3.0.2003l對用戶信息的處理涉嫌未遵守其中的用戶知情權、選擇權及禁止權，并在未獲得個人信息主體的明確同意下記錄和上傳用戶行為數據。

　　值得注意的是，已于2月1日正式生效的我國首個個人信息保護國家標準《信息安全技術公共及商用服務信息系統個人信息保護指南》明確規定，個人信息獲得者在收集個人信息時，需“具有特定、明確、合法的目的”。基于此，在收集前要采用個人信息主體易知悉的方式，向個人信息主體明確告知和警示如下事項：處理個人信息的目的；個人信息的收集方式和手段、收集的具體內容和留存時限；個人信息的使用范圍、被收集后的個人信息保護措施、個人信息主體的投訴渠道；同時提醒個人信息主體提供個人信息后可能存在的風險和個人信息主體不提供個人信息可能出現的后果。且“只收集能夠達到已告知目的的最少信息”。而信息獲得者如需將個人信息轉移或委托于其他組織和機構時，也需要向個人信息主體明確告知轉移或委托的目的、轉移或委托個人信息的具體內容和使用范圍、接受委托的個人信息獲得者的名稱、地址、聯系方式等。

　　很明顯，360公司在個人信息的收集、加工、轉移、刪除等環節，明顯將行業的游戲規則拋諸腦后，一意孤行地進行著暗箱操作。