黑匣子現(xiàn)身:對(duì)用戶個(gè)人信息涉嫌暗箱操作/
“破解360安全衛(wèi)士的非法操作,是一件很好玩的貓捉老鼠的事情。”上述黑客向《每日經(jīng)濟(jì)新聞》記者感嘆說,360安全衛(wèi)士的技術(shù)架構(gòu)非常復(fù)雜,組件有很多程序,軟件包有幾十個(gè)可執(zhí)行的程序,還有擴(kuò)展庫。如果要查清楚是否侵犯用戶隱私,則需要對(duì)每個(gè)程序進(jìn)行分析,就像分析病毒一樣地分析每個(gè)文件,而這需要投入大量的時(shí)間和精力。
這名黑客給記者展示了許多“同行”間來往的郵件,此中展現(xiàn)出破解之后的喜悅,以及經(jīng)驗(yàn)的交流。
而獨(dú)立調(diào)查員宣稱,他“已基本破解了360安全衛(wèi)士的謎局,但離發(fā)布還為時(shí)尚早”,因?yàn)樗?ldquo;鐵板釘釘?shù)氖虑?rdquo;。
在《每日經(jīng)濟(jì)新聞》記者保證不會(huì)將其操作思路披露的情況下,獨(dú)立調(diào)查員將其操作的核心步驟進(jìn)行了詳盡的現(xiàn)場(chǎng)演示。在征得其允諾的情況下,記者可以告知的是:針對(duì)360的設(shè)置,進(jìn)行反向操作,反向分析而破解。
到目前為止,已經(jīng)披露的最重要證據(jù)為獨(dú)立調(diào)查員于2012年12月6日在其微博上發(fā)布的一個(gè)視頻(http:/weibo.com/2902756801/z8BUvfWqe)。這份視頻詳盡地破解了360安全衛(wèi)士秘密獲取用戶信息的過程。
獨(dú)立調(diào)查員告訴記者,這份13分36秒的視頻以完整的手法記錄了破獲360竊取用戶隱私的證據(jù)。它證明了360在用戶電腦中收集、上傳用戶信息的“動(dòng)作”,“猖狂到任何簡(jiǎn)單的、常規(guī)的軟件操作行為都將被記錄,與安全問題完全無關(guān),而這些信息都在用戶個(gè)人隱私范疇”。
但據(jù)獨(dú)立調(diào)查員宣稱,這份視頻資料并非其采集、制作,“而是來自一名自稱是安全領(lǐng)域?qū)<业哪涿耸?rdquo;,他通過微博私信向獨(dú)立調(diào)查員爆料:自己已經(jīng)掌握了360安全衛(wèi)士7.3竊取用戶隱私并上傳到360服務(wù)器的司法證據(jù),現(xiàn)在可以無償將這段司法證據(jù)給他。
而關(guān)于這份證據(jù),獨(dú)立調(diào)查員認(rèn)為,將是未來給360的“一顆小小的炸彈”,在法庭上是有力的呈堂證供。
據(jù)記者了解,去年11月28日,在易觀國(guó)際主辦的“易士堂”網(wǎng)絡(luò)安全論壇(第二季)論壇上,這份視頻資料也曾分享給包括國(guó)家信息中心、中國(guó)信息安全測(cè)評(píng)中心等安全業(yè)界人士;而最初制作這段視頻并進(jìn)行司法公證的正是金山安全專家李鐵軍。不過李鐵軍否認(rèn)自己就是給獨(dú)立調(diào)查員爆料的匿名人士。
據(jù)李鐵軍透露,2010年11月,卡飯安全論壇有人爆料稱“360安全衛(wèi)士7.3的某個(gè)版本會(huì)竊取用戶隱私上傳到360服務(wù)器”,爆料的內(nèi)容非常簡(jiǎn)單,只提供了一個(gè)有趣的細(xì)節(jié)暗示:需要用戶在360loginfo目錄對(duì)刪除權(quán)限做一個(gè)修改才有可能捕捉到360的罪證,帖子不久就消失了。
李鐵軍首先嘗試重現(xiàn)帖子描述的問題,而不是對(duì)軟件進(jìn)行逆向分析,經(jīng)過數(shù)月才完成了這一個(gè)證據(jù)的抓取。
“反反復(fù)復(fù)不知道試了多少回。”李鐵軍對(duì)《每日經(jīng)濟(jì)新聞》記者表示,憑借多年的經(jīng)驗(yàn),他終于找到了關(guān)鍵所在,比如有竊取隱私問題的360安全衛(wèi)士版本號(hào)為7.3.0.2003l,數(shù)字簽名時(shí)間為2010年11月8日,要想重現(xiàn)必須將360loginfo訪問權(quán)限修改為“所有人不可刪除”;再比如安裝時(shí)修改系統(tǒng)時(shí)間與2010年11月8日不能相差太久,安裝前須斷開網(wǎng)絡(luò)(禁用網(wǎng)卡或拔網(wǎng)線)。
即使這樣,也有一些情況在李鐵軍“意料之外”。
“開始想到的是禁用網(wǎng)卡和改360loginfo目錄的訪問權(quán)限,但奇怪的是,有時(shí)能在安裝后幾分鐘內(nèi)即可在360loginfo目錄看到日志生成,有時(shí)等幾小時(shí)都不能重現(xiàn),于是嘗試將系統(tǒng)日期從單數(shù)修改為雙數(shù)或從雙數(shù)修改為單數(shù),結(jié)果很快看到奇怪的日志文件出現(xiàn)了。”李鐵軍表示,這幾條重現(xiàn)規(guī)則是反復(fù)多次嘗試之后才總結(jié)出來的。
而上述結(jié)果也在曝光之后第一時(shí)間得到IDF互聯(lián)網(wǎng)情報(bào)威懾防御實(shí)驗(yàn)室的驗(yàn)證。2012年11月25日,該實(shí)驗(yàn)室發(fā)布報(bào)告表示,360安全衛(wèi)士v7.3.0.2003l所搜集用戶軟件操作信息,對(duì)用戶隱私造成風(fēng)險(xiǎn),若用戶運(yùn)行 某 一 程 序 ,360安 全 衛(wèi) 士v7.3.0.2003l會(huì)把程序所在路徑搜集并未經(jīng)加密上傳至360服務(wù)器。若360公司所存放信息的數(shù)據(jù)庫泄露或傳輸數(shù)據(jù)被黑客截取進(jìn)行社工分析,可造成用戶的信息泄露。
萬濤對(duì)《每日經(jīng)濟(jì)新聞》表示,根據(jù)之前的評(píng)測(cè)報(bào)告,360安全衛(wèi)士v7.3.0.2003l對(duì)用戶信息的處理涉嫌未遵守其中的用戶知情權(quán)、選擇權(quán)及禁止權(quán),并在未獲得個(gè)人信息主體的明確同意下記錄和上傳用戶行為數(shù)據(jù)。
值得注意的是,已于2月1日正式生效的我國(guó)首個(gè)個(gè)人信息保護(hù)國(guó)家標(biāo)準(zhǔn) 《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》明確規(guī)定,個(gè)人信息獲得者在收集個(gè)人信息時(shí),需“具有特定、明確、合法的目的”。基于此,在收集前要采用個(gè)人信息主體易知悉的方式,向個(gè)人信息主體明確告知和警示如下事項(xiàng):處理個(gè)人信息的目的;個(gè)人信息的收集方式和手段、收集的具體內(nèi)容和留存時(shí)限;個(gè)人信息的使用范圍、被收集后的個(gè)人信息保護(hù)措施、個(gè)人信息主體的投訴渠道;同時(shí)提醒個(gè)人信息主體提供個(gè)人信息后可能存在的風(fēng)險(xiǎn)和個(gè)人信息主體不提供個(gè)人信息可能出現(xiàn)的后果。且“只收集能夠達(dá)到已告知目的的最少信息”。而信息獲得者如需將個(gè)人信息轉(zhuǎn)移或委托于其他組織和機(jī)構(gòu)時(shí),也需要向個(gè)人信息主體明確告知轉(zhuǎn)移或委托的目的、轉(zhuǎn)移或委托個(gè)人信息的具體內(nèi)容和使用范圍、接受委托的個(gè)人信息獲得者的名稱、地址、聯(lián)系方式等。
很明顯,360公司在個(gè)人信息的收集、加工、轉(zhuǎn)移、刪除等環(huán)節(jié),明顯將行業(yè)的游戲規(guī)則拋諸腦后,一意孤行地進(jìn)行著暗箱操作。
