处在舆论风口浪尖的奇虎360近日连发文章驳斥外界对其旗下产品存在“窃取用户隐私”的九大质疑。
质疑1
奇虎360安全卫士7.3.0.2003l版本记录和上传软件操作行为,会“泄露用户信息”、“窃取用户隐私”。
回应:云安全软件判断进程安全性的过程中必然要与云端进行交互。
安全软件都有“进程防护”功能,也就是对即将运行的程序的安全性进行判断。传统安全软件是比对本地的特征库,而基于云的安全软件需要把运行程序的各种特征与云端的海量的特征进行比对,进而判断其安全性。因此云安全软件在判断进程的安全性过程中必然要与云端进行交互。
质疑2
360服务器上的“用户隐私”数据被谷歌搜索爬虫抓取,包括浏览的网页、下载过的应用、搜索的关键字等。
回应:所谓“隐私数据”是360安全卫士对可疑网址的查询记录,主流安全软件均采用该机制。这些数据只是360安全卫士对可疑网址的查询记录。事实上,这也是目前主流安全软件的通行做法,包括诺顿、趋势等莫不如此。之所以会在网址中出现用户名和密码,是由于极少数网站缺乏安全意识,把用户口令编写在网址中。对于这类存在安全缺陷的网站,360也采用了措施,过滤可能带有用户数据的网址。
质疑3
360浏览器有“后门”,从服务器定期下载dll可执行程序。
回应:被质疑的dll文件,实际上只是配置文件,并不具有“遥控”作用。配置文件做成dll形式并添加数字签名校验是安全软件的常规做法,可以保证程序在加载配置文件时,确认文件没有被木马篡改过。这种做法还可避免下载文件时被中间人攻击。比如黑客通过ARP攻击劫持下载过程,返回由黑客构造的恶意配置文件。
质疑4
Windows7在开启自动更新、尚未安装任何第三方软件前,360安全卫士对其安全评估结果竟是0分。
回应:该指责子虚乌有,任何用户都可以自行验证。
质疑5
360安全浏览器“浸润”网银安全,屏蔽权威认证机构VeriSign,换为自己的认证机制。
回应:360浏览器并未屏蔽VeriSign认证,用户可自行验证。
由于很多网站都没有购买证书,所以360又推出了“网站名片”功能,参考国家的ICP备案信息库和其他认证机构数据,帮助用户识别钓鱼网站。而对于已知的恶意网站,360安全浏览器会根据网址云安全技术进行拦截。
质疑6
使用360手机卫士及360手机通讯录进行云备份或云恢复时,用户数据通过请求网址明文传输,可以从服务器的非安全通道直接下载。
回应:不存在明文传输,这些数据采用高强度的工业级加密算法进行保护。360手机卫士和360通讯录,只有在用户主动使用360云备份功能时,才会将用户所选择的通讯录、短信、通话记录等数据进行加密后上传。这些数据在网络传输和服务器存储的全过程中,都采用了高强度的工业级加密算法进行保护。即便用户手机连接到黑客的钓鱼WiFi,这些数据也难以被解密泄露。
质疑7
360旗下iOS平台多款应用遭苹果应用商店下架是因为“窃取隐私”。
回应:下架是由于360手机卫士企业版测试时违反了苹果开发者规则,与用户隐私无关。360手机卫士企业版尝试为中国境内企业用户提供“骚扰电话拦截”等功能。防骚扰也同样是广大中国苹果手机用户的强烈需求。但由于苹果IOS平台不提供相应的公开接口,360尝试调用相关苹果私有接口以实现骚扰拦截功能时,无意中触犯了苹果公司的内部规则。360公司至今仍在努力沟通中。截至目前,下架事件并未影响现有360苹果用户正常使用360产品。
质疑8
360“利用V3升级偷偷卸载竞争对手产品,安装推广软件”。
回应:V3是360安全卫士升级程序版本号,绝不会偷偷卸载竞争对手产品和安装推广软件。互联网软件都带有升级功能。特别为了有效对抗快速变化的木马和0day漏洞,要求安全软件必须能够快速升级响应,国内外主流安全软件全都如此,比如Norton杀毒软件的升级机制命名为“Live Update”。
“V3”就是升级程序的版本号,代表的是第三个主要版本,其作用是把木马防御规则、补丁更新等安全特性快速升级。同时,用户也可以在360安全卫士的设置界面中,选择是否开启自动升级。
质疑9
瑞星发现360有“后门”、首次揭露“不安全”。
回应:瑞星侵犯360商誉已被法院判处败诉。经过中国信息安全测评中心检测,360安全软件并不存在“后门”程序。根据北京市西城区法院判决,瑞星从事了侵犯奇虎360商业信誉、商品声誉的不正当竞争行为,其行为构成不正当竞争,应当承担相应的侵权责任。
北京商报记者 张绪旺
360官方回应详情见:http://zt.360.cn/heixiazi.html