中科院报告:360产品存在三大隐私安全问题 给用户安全带来严重危害

【《财经》综合报道】360浏览器侵犯用户隐私话题再次引人关注。据《上海青年报》11月23日报道,中国科学院信息工程研究所主办的“隐私保护”学术研讨会在京召开。会上一份由中科院保密技术攻防重点实验室研究撰写的《个人隐私泄露风险的技术研究报告》报告揭示:一直以安全为名的360浏览器在架构设计、运作原理方面竟然存在着三大隐私安全问题,将会给用户安全带来严重危害。

“这将会给用户安全带来严重危害”,《上海青年报》援引一位与会专家观点称。

此前,工信部曾公开宣布将对360安全问题展开调查,但目前尚没有权威机构出台令人信服的调查结果。中科院作为信息研究的专业机构,此次所出具的该项报告,或将成为推动该问题解决的重要依据。

《上海青年报》还从会上获悉,中科院针对当前互联网常用产品及服务的隐私保护问题进行了整体研究,涉及浏览器、即时通讯、电子商务、社区网站等多个类别。从记者辗转获得的报告原文来看,在浏览器隐私保护情况的研究章节里,中科院信息工程研究所研究人员对360安全浏览器进行了详细的研究和分析,并归纳列举出360安全浏览器存在的三大安全问题,其中包括: 收集用户所打开过的浏览页面地址、收集用户在浏览器地址栏输入的信息以及预留后台端口,在用户不知情的情况利用云端指令,在后台执行《安装许可协议》规定内容之外的功能等。

调查中,研究人员通过专业技术手段对整个软件运行过程及环境进行了综合测试,证实了360确实存在安全问题,并在实验室进行了多次复现。研究人员在报告中举例称,当用户在360安全浏览器地址栏中输入一个完整的网址时,360浏览器会向360公司的特定服务器依次发送用户的每一次输入数据直至输入完成,发送的信息包含了能够确定用户唯一性的ID,这可能会导致特定用户的地址栏输入以及浏览记录容易被跟踪和泄漏。另有分析显示,“这些组件或以欺骗的方式被下载到电脑以实现360安全浏览器的某些未明示的功能,也可能造成用户的电脑被恶意侵入”。

实际上,在过去数月,360安全软件一直深陷安全及隐私泄漏漩涡,饱受来自网民、媒体、意见领袖和主管部门的质疑。知名打假人士方舟子也就安全问题对360软件发出连番质疑,指称360私自窃取用户隐私、伪装系统补丁、捆绑安装软件以及360通过“云控制”远程操控用户电脑等。尽管360方面并未正面回应这些问题和质疑,仅仅将其归为“竞争对手迫害”,但层出不穷的真实案例,仍然引发大量用户关注并卸载360,一些世界500强企业也内部通知禁用360全系产品。根据CNZZ最新发布的数据,自方舟子开始打假360以来, 360浏览器的市场份额下降了1.6%,保守估计流失用户1000万。

面对沸沸扬扬的“360隐私泄露门”, 10月25日,工信部新闻发言人、通信发展司司长张峰表示,工信部已经介入调查方舟子指控的奇虎360浏览器窃取用户隐私一事,“如果查实确有违法违规行为,将依法予以严肃处理”。360方面随即宣布将主动将产品送至国家质检总局和工信部检验。

对于360的主动“送检”, 互联网威慑防御(IDF)实验室创始人、安全专家万涛认为作用不大。万涛指出,360使用的是云端控制技术,单检测桌面软件很难检测到问题,对整个过程与环境进行检测评估才能更好地说明问题。

中国人民大学教授石文昌曾表示,如果安全软件不遵守软件安全机制设计的重要原则之一 — 最小特权原则(POLP,principle of least privilege),而是利用特殊权限,进行非功能实现所必须的操作,其对系统权限的滥用将影响到用户系统的信息安全。

相关与会专家表示,“根据此次中科院的研究报告,和之前社会各界对360软件安全性的质疑,360公司以安全为名、行盗取泄漏用户隐私之实的一系列行为,已经严重违反了工信部2011年第20号令颁布并于2012年3月15日实施的《规范互联网信息服务市场秩序若干规定》中的相应条款”。

该《个人隐私泄露风险的技术研究报告》标明“V1.0”,发布者为“中国科学院信息工程研究所保密技术攻防重点实验室”,发布时间是2012年11月。

以下为《个人隐私泄露风险的技术研究报告V1.0》的部分内容:

前言

随着国内外个人隐私泄露事件的频繁发生和对个人隐私保护的重视,人们越来越关注日常工作生活中计算机软件、移动终端以及高技术带来的个人隐私问题。中国科学院信息工程研究所保密技术攻防重点实验室对当前常用软件和终端产品的用户隐私保护情况进行了初步调查,通过实验研究发现了一些有关隐私保护存在的风险。本文主要从常用软件、网络服务、移动终端以及声光电磁等四个方面介绍了实验室的研究结果和发现。文中内容注重实例研究和数据再现,希望引起有关部门对个人隐私相关问题的关注。

本文得到了北京大学互联网安全技术北京市重点实验室的帮助。

1 终端常用软件与用户隐私保护

1.1网络浏览器

许多网络浏览器为了增强用户体验、提供个性化服务、发展定向广告业务等目的,通常会在后台收集用户的网页浏览记录等个人信息上传到服务器。然而许多收集用户个人信息的行为是在用户不知情的情况下进行的,或者所收集的信息超出了软件《安装许可协议》中进行了明确规定的范围。

实验室以360安全浏览器当前最新版本5.0为例,对浏览器的用户隐私泄露问题进行了分析和研究,网络浏览器中的隐私泄露威胁存在于以下几个方面:

1)预留后门,植入代码:一些浏览器在使用过程中会在用户不知情的情况下在后台执行《安装许可协议》规定内容之外的功能,360安全浏览器在运行过程中约每5分钟与服务端进行一次通信,并下载一个文件,如下图所示,下载的文件为se.360.cn/cloud/cset18.ini,但是从数据流可以看出该文件实际上是一个PE文件,文件头中标识的产品名称为DataDll。

图1-1

将该文件从数据流中提取出来得到一个dll文件,查看该文件的属性,得到其文件说明为“360安全浏览器 安全网银”。

图1-2

从该文件中提取到一段Base64编码的文本信息:

W3N0XQ0KY291bnQ9Mg0KW3N0MV0NCmlkPTENCnVybD1odHRwOi8vd3d3LmJhaWR1LmNvbS9zZWFyY2gvcmVzc2FmZS5odG1sKg0KW3N0Ml0NCmlkPTINCnVybD1odHRwOi8vdmVyaWZ5LmJhaWR1LmNvbS92Y29kZT8qDQpbdHJheW1zZ10NCnN0YXRpY3NpZD0zMQ0KY291bnQgPSAxDQp1cmwxPWh0dHA6Ly93d3cuYmFpZHUuY29tL3NlYXJjaC9yZXNzYWZlLmh0bWwqDQpbbWFpbl0NCmhrcmVzMj0xDQpjYmM9MQ0KW2NiY10NCnVybGNvdW50PTENCnVybDE9aHR0cDovL3d3dy5iYWlkdS5jb20vc2VhcmNoL3Jlc3NhZmUuaHRtbCoNCmNiY2NvdW50PTINCmMxPUJBSURVSUQNCmMyPUJEVVNT

经过解码后的内容为:

[st]

count=2

[st1]

id=1

url=http://www.baidu.com/search/ressafe.html*

[st2]

id=2

url=http://verify.baidu.com/vcode?*

[traymsg]

staticsid=31

count = 1

url1=http://www.baidu.com/search/ressafe.html*

[main]

hkres2=1

cbc=1

[cbc]

urlcount=1

url1=http://www.baidu.com/search/ressafe.html*

cbccount=2

c1=BAIDUID

c2=BDUSS

由此可推测该DLL文件的功能与网银无任何关系,而是跟搜索引擎百度相关可能是为了躲避Referer字段的检查。这种行为虽然不涉及用户隐私,但是具有欺骗性。

此外,360安全浏览器还会在用户不知情的情况下定期从服务端下载和执行一个名为“ExtSmartWiz.dll”的动态链接库。如果该动态链接库被植入恶意功能或者不法分子利用域名劫持等方法对浏览器下载的“ExtSmartWiz.dll”文件进行恶意篡改,将会给用户安全带来严重危害。

2)收集用户浏览记录:很多浏览器会将用户所打开的页面地址上传到服务器,以分析用户的个人爱好或者统计网站的受欢迎度,从而在浏览器首页更好地为用户推荐个性化内容。这种行为也侵犯了用户的隐私数据。下图为当用户使用360安全浏览器5.0访问网页的时候,每打开一个网页之后都会向360的特定服务器发送一个POST请求,内容包含加密过的url信息。

图1-3

3)收集浏览器地址栏输入信息:当用户在浏览器地址栏中输入网址的时候,很多浏览器为了帮助用户自动补全网址,会把用户所输入的内容上传到服务器来。下图为当用户在360安全浏览器5.0的地址栏中输入“10.105.240.57”时,浏览器会将该地址发送到sug.so.360.cn,并且发送时附带的Cookie中会带有具有用户唯一性标志的guid值,这可能会导致特定用户的地址栏输入以及浏览记录被跟踪和泄漏。

图1-4

下图所示为当用户在360安全浏览器5.0的地址栏中输入“weibo.com”的过程中,每输入一个字符,浏览器就会向sug.so.360.cn发送当前浏览器地址栏中的内容(即“w”、“we”、“wei”、“weib”、“weibo”、“weibo。”、“weibo.c”、“weibo.co”、“weibo.com”)。

图1-5

来源:http://tech.sina.com.cn/i/2012-11-23/08517825584.shtml

时间: 2024-11-09 06:11:37

中科院报告:360产品存在三大隐私安全问题 给用户安全带来严重危害的相关文章

中科院爆料360产品存三大隐私安全问题?360辟谣越描越黑

中介交易 SEO诊断 淘宝客 云主机 技术大厅 今天,大量媒体刊登了题为<中科院报告:360产品存在三大隐私安全问题>的文章,文章中报道在北京召开的中科院"隐私保护"学术研讨会上,由中科院保密技术攻防重点实验室研究撰写的<"隐私保护"学术研讨会个人隐私泄露风险的技术研究报告>报告揭示:一直以安全为名的360浏览器在架构设计.运作原理方面 竟然存在着三大隐私安全问题,将会给用户安全带来严重危害. 该报告指出,研究人员通过专业技术手段对整个软件运

中科院称360浏览器存严重隐私安全问题

360浏览器侵犯用户隐私话题再次引人关注.据<上海青年报>11月23日报道,中国科学院信息工程研究所主办的"隐私保护"学术研讨会在京召开.会上一份由中科院保密技术攻防重点实验室研究撰写的<个人隐私泄露风险的技术研究报告>报告揭示:一直以安全为名的360浏览器在架构设计.运作原理方面竟然存在着三大隐私安全问题,将会给用户安全带来严重危害. "这将会给用户安全带来严重危害",<上海青年报>援引一位与会专家观点称. 此前,工信部曾公开宣

无章、无签字、无全文 中科院报告系伪造

中介交易 SEO诊断 淘宝客 云主机 技术大厅 一份贴着中科院保密技术攻防重点实验室标签的<个人隐私泄露风险的技术研究报告>报告突然现身,称360安全浏览器存在隐私安全问题,但该报告明显不符合中科院报告严谨的风格.从目前媒体上刊载的报告内容,和微博上刊载的报告封面来看,该报告没有中科院盖章,也没有相关部门负责人签字,而且更没有报告全文在网上公开.有网友质疑,这份"三无报告"很可能是伪造的. 图1:大量假设性用词证明该报告不专业 事实上,此前由"三百大战"

奇虎360首设首席隐私官 隐私保护变必需品

奇虎360首设首席隐私官 隐私保护变必需品 面对越来越严重的隐私保护问题.日前,奇虎360公司(NYSE:QIHU)宣布,任命公司副总裁谭晓生为首席隐私官(CPO,Chief Privacy Officer),主要负责规划和制定公司的隐私政策,处理产品中涉及到用户数据的各项事务.由此,奇虎360成为国内首家设立首席隐私官一职的互联网公司. 随着互联网和移动互联网的发展,个人隐私保护已经成为人们上网时最大的担忧.但是,保护隐私谈何容易,大量互联网用户在不知不觉中成为"透明人".刚刚播出的

中科院报告称360浏览器Gmail等存泄露隐私风险

昨日,南都记者独家获悉,中国科学院信息工程研究所主办了一场主题为"隐私保护"的闭门学术研讨会,同时发布了一份由中科院保密技术攻防重点实验室研究撰写的<个人隐私泄露风险的技术研究报告>(下称报告).内容显示,目前网民日常使用的许多网络服务都存在泄露隐私的风险:国内外许多知名互联网公司榜上有名,包括360浏览器.微软的Hotmail.谷歌的Gmail等. 多个互联网应用名列其中 据内部人士透露,此次中科院联合了北京大学互联网技术北京市重点实验室(下称实验室)共同针对当前互联网常

中科院:360浏览器Gmail等存风险

 昨日,南都记者独家获悉,中国科学院信息工程研究所主办了一场主题为"隐私保护"的闭门学术研讨会,同时发布了一份由中科院保密技术攻防重点实验室研究撰写的<个人隐私泄露风险的技术研究报告>(下称报告).内容显示,目前网民日常使用的许多网络服务都存在泄露隐私的风险:国内外许多知名互联网公司榜上有名,包括360浏览器.微软的Hotmail.谷歌的Gmail等.     多个互联网应用名列其中     据内部人士透露,此次中科院联合了北京大学互联网技术北京市重点实验室(下称实验室)共

武汉大学官网呼吁卸载360产品 疑遭黑客入侵删帖(图)

网友爆料:360可能操纵黑客入侵武汉大学网站删帖     武汉大学卸载360通知网页被删除,百度快照依然可以查到相关信息 4月29日消息,武汉大学某院要求师生全面卸载360产品一事愈演愈烈.由于 大量网友支持武大校方行为,这一事件迅速上升成为奇虎360的危机公关事件.近日有网友投诉称,武汉大学相关通知可能被黑客入侵删帖,服务器管理员不知删帖. 数日前,武汉大学学生微博披露了武汉大学官网的内部通知后,迅速引起网友围观.大量网友呼吁其他学校也参与抵制360的行动中. 不过,后面事件的进展却一波三折,

百度浏览器的隐私安全问题分析

主要发现 百度浏览器是微软和安卓平台上的一种网络浏览器,个人用户在向服务器传输数据时进行加密,就算加密了也很容易被解密.浏览器更新时可能很轻易地被中间攻击者利用,执行任意代码. 安卓版本的百度浏览器传输的个人可识别数据,包括用户的GPS坐标.搜索内容和访问时的URL,这些内容都是没有进行加密的.不仅如此,在传输用户的IMEI和附近无线网络列表时也只是使用了简单.易于破解的加密. Windows版的百度浏览器在传输个人可识别数据点的时候也没有进行加密,或者是进行了简单的加密.这些数据包括了用户的搜

360被爆侵犯隐私权致公司股价大跌

CUBN记者 陈文喜 北京报道 近日,国内某财经媒体调查性报道<360黑匣子之谜--奇虎360"癌"性基因大揭秘>揭露了知名安全公司360的发展模式,指责其成功是"创新型破坏",侵犯网民和同行权益,就像癌细胞一样生长,破坏行业的发展. 一石激起千层浪,此文一出,在社会及资本市场引起巨大反响.据福布斯中文网26日微博透露,26日360股价开盘后急挫3%.而截止收盘,360股价已下跌4.95%,创下今年来股价的最大跌幅,市值蒸发高达1.83亿美元. 而就在股