奇虎360黑匣子之谜:暗藏后门盗取用户隐私(6)

商业篇

  360:互联网的“一枝黄花”

  每经记者 秦俑

  自由评论人、技术经济观察家瞬雨给《每日经济新闻》记者讲述了一个历史故事:

  1935年,上海从北美引进“加拿大一枝黄花”作为观赏植物,因其艳丽多姿,多用于插花配花。然而上世纪80年代,因其具有极强的繁殖和快速侵占力,同时,其根系会释放乙炔气体抑制其他物种生长,从而导致“加拿大一枝黄花”扎根之处,所有植物均迅速死亡,甚至使上海30多种植物物种消亡,从而被列为恶性杂草。几十年来,许多地区一直在进行剿灭“加拿大一枝黄花”行动。

  瞬雨认为,360很像中国互联网界的 “一枝黄花”。360董事长周鸿祎一直强调“破坏性创新”,这正是“一枝黄花”的最好注解。

  对于360及周鸿祎,外界基本上分为两个阵营:爱之者为之欢呼,恨之者为之切齿。而欢呼者,正是出于对其破坏性快感的获得,以及对其破坏过程中所呈现的“流氓特性”的认可;而切齿者,则不仅因其对整个互联网社会的强大破坏力,更缘于其不断地突破底线,以及对人们价值观的不断挑战。

  “破坏是一件容易的事,而建设才是根本。创新不能总是以破坏为代价。”瞬雨向《每日经济新闻》记者表示,“酿制出一只青花瓷瓶,或许需要数月甚至数年的精到功夫与时间,但破坏它,一锤子砸它,只需要一秒钟。”

  瞬雨认为,360更大的危害,在于其还有许多人们所不能见的潜在威胁:360安全卫士、360浏览器的“癌性基因”。

  作为互联网安全厂商,最重要的特性,就是恪守“第三方安全”准则:不得随意代替用户作决定或处理;不得以安全的名义,为厂商自己牟利;不得在安全领域,既当运动员,又是裁判员。

  但360恰恰就在这些方面,完全违背了安全厂商的基本准则。当360安全卫士、360安全浏览器植入用户电脑的时候,360便通过它们在用户知情或不知情的情况下,直接代替用户做决定,完成各种动作。

  “这样的产品在市场上将是无敌的。”瞬雨举例说,“一场拳击赛,A方只可以以拳击打对方的有效部位,但B方却可以手脚并用,并可以攻击你的下三路,那A方必输无疑。”

  这是360致胜的法宝。

  而在掠夺市场的过程中,360安全卫士、360浏览器恰是一对并蒂的“恶之花”。

  商业篇之一·生意经

  360生意经:圈地运动与癌性扩张

  每经记者 秦俑

  

  

  近日,百度要求凤巢(百度搜索营销管理平台)用户安装安全插件,以检验浏览器的安全性。而360以用户名义,给予这个插件以 “网友差评”标签,并通过其系统,认定该插件为“偷拍插件”。然后,在360安全卫士的“清理插件”功能下,直接诱导和恐吓用户卸载该插件。

  360凭什么将百度这个插件定义为“偷拍插件”?凭什么要用户卸载?事实上,全球其他所有浏览器均对上述插件无异议。

  

  

  独立调查员向《每日经济新闻》记者分析说,360软件 (含互联网服务)产品,涵盖安全防护(安全卫士、手机卫士、杀毒等)、操作环境(浏览器、桌面、软件管家等)、工具软件(五花八门)、游戏平台、导航搜索和电商网站等,“如果把电脑系统比作软件产品的运动场,从安全角度看,安全防护产品是裁判员,其他产品则是运动员”。

  很显然,360兼具裁判员、运动员双重身份。

  做为裁判员,360能否公平对待同场竞争的运动员(竞争对手)和看台观众(用户),是人们判断其价值最关键、也是最重要的因素。

  “我们无法想象,微软会通过Windows产品不断提示用户IE才是安全的浏览器、借网民的名义指控Google搜索是钓鱼网银的帮凶、腾讯电脑管家是最差的安全防护产品;我们无法想象,微软通过Windows产品把用户安装的所有浏览器的默认首页都强行设定为自身的官方网站;我们无法想象,微软会通过Windows产品向全球电脑秘密下达卸载Chrome浏览器的指令;我们无法想象,微软Bing搜索引擎盗用Google搜索引擎的结果数据。”独立调查员说,“是的,善良的人们无法想象,更无法接受这一切,有社会责任感的企业公民对此都会嗤之以鼻——‘我们绝不这么干!’”

  独立调查员认为,360有两条“成功密钥”,第一,是以“民事诉讼8连败”为代表的发展模式:先踩法律底线,以求先发展——在中国,360钻了品牌与道德成本太低的空子;第二,就是以安全和免费名义 “绑架”用户,然后以安全裁判员的身份,展开“竞争”。

  以“永久免费”为口号,360安全卫士及其关联产品很快占据较高市场份额。

  “电脑安全性评分”是360安全卫士最重要的基础性功能。360安全卫士会自动扫描客户端所在系统的“安全隐患”,不符合360“安全标准”要求的就扣分,但评分标准和权重并不公开。

  比如全新安装的Windows7,在开启自动更新、尚未安装任何第三方软件前,360安全卫士对其安全评估结果竟是0分 (满分100分)。这个0分意味着什么?Windows真的很不安全?实际测试发现,根据其安全警示清单一项一项 “优化或修复”后,评分逐步增加,但始终处于低位、不到60分,直到“优化浏览器”并“锁定首页”后,安全性评分迅速接近满分!事实上,所谓“优化浏览器”就是“安装360浏览器并设定为默认浏览器”,“锁定首页”就是“修改首页为360导航”。

  需要修复的项目还有 (不限于):卸载“差评插件”百度浏览器工具栏、优化IE(实为篡改IE的首页、标签页、默认搜索引擎为360的有关服务)、删除收藏夹中对手的项目(百度、腾讯、谷歌等)等等。

  360安全卫士甚至曾伪装成微软 Windows补 丁 安 装 程 序KB360018,以“IE6内核升级”的名义欺骗用户安装360浏览器。国外权威技术网站SystemExplorer已将360的这个假冒微软系统补丁文件定为“100%安全威胁”,从而使后者遭遇微软调查。

  尤其是360安全卫士在评分后的“一键修复”功能,更是其占领市场的利器。其借助傻瓜式的“一键修复”,导致用户在电脑上用什么、不用什么,都由360安全卫士说了算,至于是否都与安全性有关,一般用户自然看不出门道,相反还会对360的这些“强奸”行为“感恩戴德”——这些用户原本连安装或卸载软件的操作都不熟练,而360安全卫士就是一台“傻瓜相机”。

  事实上,360安全卫士不只是一台“傻瓜相机”,其云安全数据中心动态控制着一切,可以根据360自身需要更改其软件资料库、评分标准和权重,随时准备向对手发起“云查杀”以保护自身利益。

  独立调查员向 《每日经济新闻》记者分析说,360的发展路径,即从360软件产品底层技术构架开始,埋下不同于所有互联网公司发展的“癌变基因”,然后,此“癌变基因”通过浸润,向操作环境领域发展,再向工具软件、游戏平台发展,最终进入真正的互联网领域——导航、搜索、电商网站,以及电商网银体系等。

  

  

  

  

  360绿色网站的安全谎言:“偷梁换柱”浸润电商网银安全体系/

  2月6日,360官网上一条 “网购首选,3亿用户的共同选择”的广告悄然上线。打开这条广告链接,以“网购安全”为主题的新款“360安全浏览器”赫然在目。

  据《每日经济新闻》记者获得的360内部信息,360将借今年的“3·15”活动,大力推动与国内电商企业的合作,以将360安全浏览器植入电商领域。这则推广广告,正是这一步骤的前奏曲。

  据记者调查,360两年前开始布局电子商务安全领域,其最先打出的 “安全产品”是 “网银无忧”、“地址栏铭牌”,即360浏览器主推的“绿色网站认证”。

  360向人们传递的信息是,“360绿色网站认证”可以确保用户使用网银以及电子商务交易安全。

  众所周知,电子商务的交易安全,尤其是网银,一直是网民、乃至整个社会焦点关注的问题之一。欧美、日本等国家的网银安全体系非常复杂与发达,而国内的网银体系,也是在小心设想、小心求证的前提下,一步步地展开。

  那么,360是否真的具备这个能力——取代网银服务提供者身份验证体系,由自身来充当网银“保镖”呢?

  独立调查员怀疑360公司是否具备这个能力。于是,他进行了如下实验,以了解360绿色网站认证机制:

  在本机模拟,将招行网银域名劫持到IP为50.63.127.126(xliar.com)的网站,并在目标服务器上构建相应目录体系和登录页文件,然后使用360安全浏览器访问招行大众版登录页,从而进入伪装的招行网银页面。

  360网购保镖自动检测招行运行环境,几秒钟后完成检测,报告“本次检测未发现风险,现在可以放心网购了!”

  此时浏览器地址栏铭牌显示为“招商银行”,点击后弹出“通过绿色网站认证”,披着“招行网银”外衣的劫持网址,即被360认证为招行官方网站。

  

  

  

  

  而同样的操作,使用IE浏览器访问时,IE浏览器地址栏则会以非常显眼的方式告知用户“(网站数字)证书错误”,点击错误信息可知,该网站证书不属于招商银行网站。

  

  

  

  

  事实上,用国际主流的浏览器均会弹出类似的错误提醒警示,用户收到信息后自然会停止交易、避免损失。

  这意味着,如果一家诈骗网站通过域名劫持招商银行网站,所谓的“360绿色网站认证”并不能有效执行网银保镖的辨识功能,进行安全认证。

  360安全浏览器的安全检查能力为什么会如此之低呢?

  据 《每日经济新闻》记者了解,目前国际主流的认证机构为VeriSign,包括中国工商银行、中国建设银行、中国银行、中国农业银行均采用该机构认证。招商银行网页所显示的,也正是该机构的认证,这也作为网上银行安全的基本保证而得到公认。

  而独立调查员演示的证据显示,360浏览器直接屏蔽认证机构VeriSign基于加密体系的可信认证,将其替换成了360绿色网站认证。

  独立调查员提醒网购者,应信任银行网站自身的安全证书,并在整个交易过程中关注地址栏域名和安全证书中的域名是否一致,以及其根域名是否与官方域名一致,切勿轻易信任和依赖360的“绿色网站认证”。

  独立调查员认为,这又是另一起360“破坏性创新”的典型案例:“一点技术含量也没有的网站身份认证,竟然可以公然取代国际上通行的网上银行安全认证体系。这就是360的非创新型破坏。”

  然而,对于类似公然挑衅国际准则的行为,为什么监管部门可以坐视不管呢?

  可以预想的是,一旦360大规模启动“各大电商推荐安全购物使用360浏览器”活动,人们的网上购物均要依赖于 “360绿色网站认证”,360收获的将是又一次360式“癌性扩张”,而中国的网银体系又将会面临怎样的可怕变局?

来源:每日经济新闻 作者:

免责声明:本文仅代表作者个人观点,与世界朋友网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。

[责任编辑:世界朋友]