早報(bào)訊 11月25日,國(guó)內(nèi)網(wǎng)絡(luò)安全組織——互聯(lián)網(wǎng)威懾防御實(shí)驗(yàn)室(簡(jiǎn)稱IDF)在其官方微博公開發(fā)布了兩份關(guān)于“360安全衛(wèi)士竊取用戶隱私”及“360安全瀏覽器暗藏后門”的檢測(cè)報(bào)告。這是繼工信部表態(tài)要調(diào)查方舟子和奇虎360公司之間的糾紛后,首份以互聯(lián)網(wǎng)專業(yè)組織的名義發(fā)布的檢測(cè)報(bào)告。
針對(duì)方舟子轉(zhuǎn)發(fā)新浪微博網(wǎng)友“Royflying”的爆料貼《一把菜刀:360搜集隱私程序員級(jí)的分析》、“獨(dú)立調(diào)查員”致工信部公開信,上述報(bào)告進(jìn)行了檢測(cè)。報(bào)告稱,在系統(tǒng)監(jiān)測(cè)及抓包工具的幫助下,此次檢測(cè)再現(xiàn)了360安全衛(wèi)士的“非常規(guī)工作”的全過(guò)程。
報(bào)告的結(jié)論是,360安全衛(wèi)士在用戶不知情的情況下,搜集用戶軟件操作信息并上傳至服務(wù)器,隨后刪除信息搜集過(guò)程中產(chǎn)生的臨時(shí)文件。用戶取消“加入云安全計(jì)劃”亦不能阻止信息記錄文件的上傳。360安全瀏覽器安裝路徑中的ExtSmartWiz.dll文件可在用戶毫無(wú)察覺的情況下,定時(shí)下載360遠(yuǎn)程服務(wù)器DLL文件并進(jìn)行加載操作,且無(wú)該文件功能說(shuō)明。
自10月9日以來(lái),打假人士方舟子公開指控互聯(lián)網(wǎng)安全軟件企業(yè)奇虎360的安全產(chǎn)品竊取用戶隱私。這引發(fā)了網(wǎng)民及業(yè)內(nèi)專家的普遍關(guān)注。
此前在易觀國(guó)際[微博]舉辦的網(wǎng)絡(luò)安全論壇上,安全專家李鐵軍給出所謂“360違規(guī)收集并至少導(dǎo)致了141萬(wàn)份用戶隱私被泄露”的證據(jù)稱,這些被泄露的信息包含大量淘寶用戶的訂單和聯(lián)系方式、個(gè)人賬戶及密碼、企業(yè)內(nèi)網(wǎng)記錄和財(cái)務(wù)數(shù)據(jù),以及政府涉密信息。
據(jù)稱,為確保檢測(cè)在獨(dú)立不受干預(yù)的環(huán)境下進(jìn)行,IDF實(shí)驗(yàn)室此番在準(zhǔn)備檢測(cè)環(huán)境時(shí)采用了重新安裝Windows XP系統(tǒng),取消加入360“云安全計(jì)劃”,修改temp文件夾權(quán)限屬性等方式。報(bào)告發(fā)布前,IDF實(shí)驗(yàn)室還公開組織了一場(chǎng)黑客文化沙龍,向圈內(nèi)人士演示了測(cè)試過(guò)程。
報(bào)告稱,360非常規(guī)行為不僅違反了《360用戶隱私保護(hù)白皮書》、《360瀏覽器安裝許可協(xié)議》等公開文件,更存在威脅用戶隱私及系統(tǒng)安全的可能性。IDF實(shí)驗(yàn)室創(chuàng)始人、安全技術(shù)專家萬(wàn)濤呼吁:“互聯(lián)網(wǎng)安全業(yè)界應(yīng)共同致力于營(yíng)造陽(yáng)光、透明、可信的互聯(lián)網(wǎng)桌面環(huán)境。”
