4月3日,权威漏洞报告平台乌云再次曝出奇虎360存在重大安全漏洞。据乌云描述,360向用户浏览的页面插入代码,导致360极速浏览器易被攻击。互联网安全专家建议,及时卸载360浏览器,防止个人隐私外泄等问题的发生。
乌云平台漏洞概要
据乌云漏洞平台披露的漏洞详细说明显示,此漏洞的本质是360官方插件利用浏览器的pc技术向用户浏览的页面插入代码,数据过滤不严(双引号的过滤)造成的,这将直接造成用户浏览安全的页面变得不安全。此外,该漏洞已有白帽子向360安全响应中心提交。然而,厂商(奇虎360公司)并没有及时正式改问题,而是主动忽略了该漏洞。
乌云曝光漏洞详情
其实,此前乌云早已多次爆出360存在安全漏洞,或致用户隐私泄露。2013年12月26日,乌云便爆出360存在安全漏洞,可以导致任意用户登录密码被修改,随之可登录360手机卫士、360云盘、360浏览器云同步,进而完全获取任意用户备份在云空间的通讯录、短信、通话记录等。据乌云截图显示,女星苗圃的通讯录、浏览器收藏夹、短信、电话簿等内容完全泄露。同时被测试的多位360高管帐号则显示其高管完全不使用360的产品。
(苗圃的“我喜欢”页面遭泄露)
除了乌云平台外,多家第三方权威机构曾经披露360存在安全漏洞等问题,却非但没有得到360的重视,反而有愈演愈烈之势。2012年11月26日,独立技术研究机构——互联网独立防御实验室(IDF)发布《关于360安全浏览器暗藏后门证据的独立检测报告》和《关于360安全卫士涉嫌窃取用户隐私的独立检测报告》,指出360安全卫士在用户不知情的情况下,搜集用户软件操作信息并上传至服务器,随后删除信息搜集过程中产生的临时文件。
IDF实验室工程师主管冯小刚表示:“经过我们的检测,360浏览器有可能威胁用户隐私,因为它的机制公开但不透明,存在后门机制。安全卫士有搜集用户软件操作行为的记录,并且上传,这与360发布的隐私保护白皮书和安装许可协议都是相违背的”。
截至记者发稿,360尚未对此次乌云披露的安全漏洞做出任何正面回应。