【PConline 资讯】11月23日消息,奇虎360近日宣布旗下360浏览器支持“禁止跟踪”(DNT,即Do Not Track)功能,奇虎360表示,禁止跟踪功能可减少用户网络隐私被前方或遭泄露的可能性,而360浏览器是继微软IE10之后第二家支持“禁止跟踪”功能的浏览器。
对此,360董事长周鸿祎还表示,在360浏览器中推出这一功能是为了自证清白。尽管如此,360浏览器侵犯用户隐私的话题近日却再次引人关注,据中科院报告,一直以安全为名的360浏览器在架构设计、运作原理方面竟然存在着三大隐私安全问题,将会给用户安全带来严重危害。
周鸿祎:360浏览器支持DNT功能以自证清白
360浏览器隐私安全性备受关注
10月中旬,方舟子在微博上劝告好友慎用360浏览器,称其不安全,会收集用户隐私。此微博被媒体广泛报道,方舟子与360的骂战也由此拉开帷幕。(点击查看详情)此后,方舟子、360 CEO周鸿祎、360首席隐私官谭晓生轮流在微博上开炮,并互称要上诉寻求法律保障。方舟子与360的口水战引发了众人对“360浏览器侵犯用户隐私”的话题的关注,同时也引起了工信部的介入调查。
方舟子 VS 360
工信部介入调查方舟子与360的口水战后,宣布将对360安全问题展开调查,但目前尚无权威机构出台令人信服的调查结果。
而除方舟子在打假360之外,还有消息称因安全隐私问题,部分世界500强企业内部通知禁用360产品。种种类似事件,将“360产品的安全隐私问题”推到了风口浪尖之上。
中科院报告:360产品存隐私安全问题
据悉,中国科学院信息工程研究所主办的“隐私保护”学术研讨会在京召开。会上一份由中科院保密技术攻防重点实验室研究撰写的《个人隐私泄露风险的技术研究报告》报告揭示:一直以安全为名的360浏览器在架构设计、运作原理方面竟然存在着三大隐私安全问题,将会给用户安全带来严重危害。
中科院作为信息研究的专业机构,其此次所出具的该项报告,或将成为工信部调查360安全问题的重要依据。
消息称,中科院针对当前互联网常用产品及服务的隐私保护问题进行了整体研究,涉及浏览器、即时通讯、电子商务、社区网站等多个类别。在浏览器隐私保护情况的研究章节里,中科院信息工程研究所研究人员对360安全浏览器进行了详细的研究和分析,并归纳列举出360安全浏览器存在的三大安全问题,其中包括:收集用户所打开过的浏览页面地址、收集用户在浏览器地址栏输入的信息以及预留后台端口,在用户不知情的情况利用云端指令,在后台执行《安装许可协议》规定内容之外的功能等。
调查中,研究人员以360安全浏览器最新版本5.0为例,通过专业技术手段对整个软件运行过程及环境进行了综合测试,证实了360确实存在安全问题,并在实验室进行了多次复现。
研究人员在报告中举例称,当用户在360安全浏览器地址栏中输入一个完整的网址时,360浏览器会向360公司的特定服务器依次发送用户的每一次输入数据直至输入完成,发送的信息包含了能够确定用户唯一性的ID,这可能会导致特定用户的地址栏输入以及浏览记录容易被跟踪和泄漏。另有分析显示,“这些组件或以欺骗的方式被下载到电脑以实现360安全浏览器的某些未明示的功能,也可能造成用户的电脑被恶意侵入”。
对此,奇虎360相关人员则表示,360所有软件产品均将遵循“四不三必须”准则。“四不”是指:不该看的不看;不该传的不传;不该存的不存;不该用的不用。“三必须”是指:一切行为必须明示;必须经过用户许可;必须对收集的用户个人信息负责。
附:《个人隐私泄露风险的技术研究报告V1.0》的部分内容:
前言
随着国内外个人隐私泄露事件的频繁发生和对个人隐私保护的重视,人们越来越关注日常工作生活中计算机软件、移动终端以及高技术带来的个人隐私问 题。中国科学院信息工程研究所保密技术攻防重点实验室对当前常用软件和终端产品的用户隐私保护情况进行了初步调查,通过实验研究发现了一些有关隐私保护存 在的风险。本文主要从常用软件、网络服务、移动终端以及声光电磁等四个方面介绍了实验室的研究结果和发现。文中内容注重实例研究和数据再现,希望引起有关 部门对个人隐私相关问题的关注。
本文得到了北京大学互联网安全技术北京市重点实验室的帮助。
1 终端常用软件与用户隐私保护
1.1网络浏览器
许多网络浏览器为了增强用户体验、提供个性化服务、发展定向广告业务等目的,通常会在后台收集用户的网页浏览记录等个人信息上传到服务器。然而 许多收集用户个人信息的行为是在用户不知情的情况下进行的,或者所收集的信息超出了软件《安装许可协议》中进行了明确规定的范围。
实验室以360安全浏览器当前最新版本5.0为例,对浏览器的用户隐私泄露问题进行了分析和研究,网络浏览器中的隐私泄露威胁存在于以下几个方面:
1)预留后门,植入代码:一些浏览器在使用过程中会在用户不知情的情况下在后台执行《安装许可协议》规定内容之外的功能,360安全浏览器在运 行过程中约每5分钟与服务端进行一次通信,并下载一个文件,如下图所示,下载的文件为se.360.cn/cloud/cset18.ini,但是从数据 流可以看出该文件实际上是一个PE文件,文件头中标识的产品名称为DataDll。
图1-1
将该文件从数据流中提取出来得到一个dll文件,查看该文件的属性,得到其文件说明为“360安全浏览器 安全网银”。
图1-2
从该文件中提取到一段Base64编码的文本信息:
W3N0XQ0KY291bnQ9Mg0KW3N0MV0NCmlkPTENCnVybD1odHRwOi8vd3d3LmJhaWR1LmNvbS9zZWF
yY2gvcmVzc2FmZS5odG1sKg0KW3N0Ml0NCmlkPTINCnVybD1odHRwOi8vdmVyaWZ5LmJhaWR1LmNvb
S92Y29kZT8qDQpbdHJheW1zZ10NCnN0YXRpY3NpZD0zMQ0KY291bnQgPSAxDQp1cmwxPWh0dHA6Ly
93d3cuYmFpZHUuY29tL3NlYXJjaC9yZXNzYWZlLmh0bWwqDQpbbWFpbl0NCmhrcmVzMj0xDQpjYmM9MQ
0KW2NiY10NCnVybGNvdW50PTENCnVybDE9aHR0cDovL3d3dy5iYWlkdS5jb20vc2VhcmNoL3Jlc3NhZmU
uaHRtbCoNCmNiY2NvdW50PTINCmMxPUJBSURVSUQNCmMyPUJEVVNT
经过解码后的内容为:
[st]
count=2
[st1]
id=1
url=http://www.baidu.com/search/ressafe.html*
[st2]
id=2
url=http://verify.baidu.com/vcode?*
[traymsg]
staticsid=31
count = 1
url1=http://www.baidu.com/search/ressafe.html*
[main]
hkres2=1
cbc=1
[cbc]
urlcount=1
url1=http://www.baidu.com/search/ressafe.html*
cbccount=2
c1=BAIDUID
c2=BDUSS
由此可推测该DLL文件的功能与网银无任何关系,而是跟搜索引擎百度相关可能是为了躲避Referer字段的检查。这种行为虽然不涉及用户隐私,但是具有欺骗性。
此外,360安全浏览器还会在用户不知情的情况下定期从服务端下载和执行一个名为“ExtSmartWiz.dll”的动态链接库。如果该动态 链接库被植入恶意功能或者不法分子利用域名劫持等方法对浏览器下载的“ExtSmartWiz.dll”文件进行恶意篡改,将会给用户安全带来严重危害。
2)收集用户浏览记录:很多浏览器会将用户所打开的页面地址上传到服务器,以分析用户的个人爱好或者统计网站的受欢迎度,从而在浏览器首页更好 地为用户推荐个性化内容。这种行为也侵犯了用户的隐私数据。下图为当用户使用360安全浏览器5.0访问网页的时候,每打开一个网页之后都会向360的特 定服务器发送一个POST请求,内容包含加密过的url信息。
图1-3
3)收集浏览器地址栏输入信息:当用户在浏览器地址栏中输入网址的时候,很多浏览器为了帮助用户自动补全网址,会把用户所输入的内容上传到服务 器来。下图为当用户在360安全浏览器5.0的地址栏中输入“10.105.240.57”时,浏览器会将该地址发送到sug.so.360.cn,并且 发送时附带的Cookie中会带有具有用户唯一性标志的guid值,这可能会导致特定用户的地址栏输入以及浏览记录被跟踪和泄漏。
图1-4
下图所示为当用户在360安全浏览器5.0的地址栏中输入“weibo.com”的过程中,每输入一个字符,浏览器就会向 sug.so.360.cn发送当前浏览器地址栏中的内容(即“w”、“we”、“wei”、“weib”、“weibo”、“weibo。”、 “weibo.c”、“weibo.co”、“weibo.com”)。
图1-5
