【《財(cái)經(jīng)》綜合報(bào)道】360瀏覽器侵犯用戶隱私話題再次引人關(guān)注。據(jù)《上海青年報(bào)》11月23日?qǐng)?bào)道，中國(guó)科學(xué)院信息工程研究所主辦的“隱私保護(hù)”學(xué)術(shù)研討會(huì)在京召開。會(huì)上一份由中科院保密技術(shù)攻防重點(diǎn)實(shí)驗(yàn)室研究撰寫的《個(gè)人隱私泄露風(fēng)險(xiǎn)的技術(shù)研究報(bào)告》報(bào)告揭示：一直以安全為名的360瀏覽器在架構(gòu)設(shè)計(jì)、運(yùn)作原理方面竟然存在著三大隱私安全問(wèn)題，將會(huì)給用戶安全帶來(lái)嚴(yán)重危害。

　　“這將會(huì)給用戶安全帶來(lái)嚴(yán)重危害”，《上海青年報(bào)》援引一位與會(huì)專家觀點(diǎn)稱。

　　此前，工信部曾公開宣布將對(duì)360安全問(wèn)題展開調(diào)查，但目前尚沒有權(quán)威機(jī)構(gòu)出臺(tái)令人信服的調(diào)查結(jié)果。中科院作為信息研究的專業(yè)機(jī)構(gòu)，此次所出具的該項(xiàng)報(bào)告，或?qū)⒊蔀橥苿?dòng)該問(wèn)題解決的重要依據(jù)。

　　《上海青年報(bào)》還從會(huì)上獲悉，中科院針對(duì)當(dāng)前互聯(lián)網(wǎng)常用產(chǎn)品及服務(wù)的隱私保護(hù)問(wèn)題進(jìn)行了整體研究，涉及瀏覽器、即時(shí)通訊、電子商務(wù)、社區(qū)網(wǎng)站等多個(gè)類別。從記者輾轉(zhuǎn)獲得的報(bào)告原文來(lái)看，在瀏覽器隱私保護(hù)情況的研究章節(jié)里，中科院信息工程研究所研究人員對(duì)360安全瀏覽器進(jìn)行了詳細(xì)的研究和分析，并歸納列舉出360安全瀏覽器存在的三大安全問(wèn)題，其中包括： 收集用戶所打開過(guò)的瀏覽頁(yè)面地址、收集用戶在瀏覽器地址欄輸入的信息以及預(yù)留后臺(tái)端口，在用戶不知情的情況利用云端指令，在后臺(tái)執(zhí)行《安裝許可協(xié)議》規(guī)定內(nèi)容之外的功能等。

　　調(diào)查中，研究人員通過(guò)專業(yè)技術(shù)手段對(duì)整個(gè)軟件運(yùn)行過(guò)程及環(huán)境進(jìn)行了綜合測(cè)試，證實(shí)了360確實(shí)存在安全問(wèn)題，并在實(shí)驗(yàn)室進(jìn)行了多次復(fù)現(xiàn)。研究人員在報(bào)告中舉例稱，當(dāng)用戶在360安全瀏覽器地址欄中輸入一個(gè)完整的網(wǎng)址時(shí)，360瀏覽器會(huì)向360公司的特定服務(wù)器依次發(fā)送用戶的每一次輸入數(shù)據(jù)直至輸入完成，發(fā)送的信息包含了能夠確定用戶唯一性的ID，這可能會(huì)導(dǎo)致特定用戶的地址欄輸入以及瀏覽記錄容易被跟蹤和泄漏。另有分析顯示，“這些組件或以欺騙的方式被下載到電腦以實(shí)現(xiàn)360安全瀏覽器的某些未明示的功能，也可能造成用戶的電腦被惡意侵入”。

　　實(shí)際上，在過(guò)去數(shù)月，360安全軟件一直深陷安全及隱私泄漏漩渦，飽受來(lái)自網(wǎng)民、媒體、意見領(lǐng)袖和主管部門的質(zhì)疑。知名打假人士方舟子也就安全問(wèn)題對(duì)360軟件發(fā)出連番質(zhì)疑，指稱360私自竊取用戶隱私、偽裝系統(tǒng)補(bǔ)丁、捆綁安裝軟件以及360通過(guò)“云控制”遠(yuǎn)程操控用戶電腦等。盡管360方面并未正面回應(yīng)這些問(wèn)題和質(zhì)疑，僅僅將其歸為“競(jìng)爭(zhēng)對(duì)手迫害”，但層出不窮的真實(shí)案例，仍然引發(fā)大量用戶關(guān)注并卸載360，一些世界500強(qiáng)企業(yè)也內(nèi)部通知禁用360全系產(chǎn)品。根據(jù)CNZZ最新發(fā)布的數(shù)據(jù)，自方舟子開始打假360以來(lái)， 360瀏覽器的市場(chǎng)份額下降了1.6%，保守估計(jì)流失用戶1000萬(wàn)。

　　面對(duì)沸沸揚(yáng)揚(yáng)的“360隱私泄露門”， 10月25日，工信部新聞發(fā)言人、通信發(fā)展司司長(zhǎng)張峰表示，工信部已經(jīng)介入調(diào)查方舟子指控的奇虎360瀏覽器竊取用戶隱私一事，“如果查實(shí)確有違法違規(guī)行為，將依法予以嚴(yán)肅處理”。360方面隨即宣布將主動(dòng)將產(chǎn)品送至國(guó)家質(zhì)檢總局和工信部檢驗(yàn)。

　　對(duì)于360的主動(dòng)“送檢”， 互聯(lián)網(wǎng)威懾防御(IDF)實(shí)驗(yàn)室創(chuàng)始人、安全專家萬(wàn)濤認(rèn)為作用不大。萬(wàn)濤指出，360使用的是云端控制技術(shù)，單檢測(cè)桌面軟件很難檢測(cè)到問(wèn)題，對(duì)整個(gè)過(guò)程與環(huán)境進(jìn)行檢測(cè)評(píng)估才能更好地說(shuō)明問(wèn)題。

　　中國(guó)人民大學(xué)教授石文昌曾表示，如果安全軟件不遵守軟件安全機(jī)制設(shè)計(jì)的重要原則之一 -- 最小特權(quán)原則(POLP，principle of least privilege)，而是利用特殊權(quán)限，進(jìn)行非功能實(shí)現(xiàn)所必須的操作，其對(duì)系統(tǒng)權(quán)限的濫用將影響到用戶系統(tǒng)的信息安全。

　　相關(guān)與會(huì)專家表示，“根據(jù)此次中科院的研究報(bào)告，和之前社會(huì)各界對(duì)360軟件安全性的質(zhì)疑，360公司以安全為名、行盜取泄漏用戶隱私之實(shí)的一系列行為，已經(jīng)嚴(yán)重違反了工信部2011年第20號(hào)令頒布并于2012年3月15日實(shí)施的《規(guī)范互聯(lián)網(wǎng)信息服務(wù)市場(chǎng)秩序若干規(guī)定》中的相應(yīng)條款”。

　　該《個(gè)人隱私泄露風(fēng)險(xiǎn)的技術(shù)研究報(bào)告》標(biāo)明“V1.0”，發(fā)布者為“中國(guó)科學(xué)院信息工程研究所保密技術(shù)攻防重點(diǎn)實(shí)驗(yàn)室”，發(fā)布時(shí)間是2012年11月。

　　以下為《個(gè)人隱私泄露風(fēng)險(xiǎn)的技術(shù)研究報(bào)告V1.0》的部分內(nèi)容：

　　前言

　　隨著國(guó)內(nèi)外個(gè)人隱私泄露事件的頻繁發(fā)生和對(duì)個(gè)人隱私保護(hù)的重視，人們?cè)絹?lái)越關(guān)注日常工作生活中計(jì)算機(jī)軟件、移動(dòng)終端以及高技術(shù)帶來(lái)的個(gè)人隱私問(wèn)題。中國(guó)科學(xué)院信息工程研究所保密技術(shù)攻防重點(diǎn)實(shí)驗(yàn)室對(duì)當(dāng)前常用軟件和終端產(chǎn)品的用戶隱私保護(hù)情況進(jìn)行了初步調(diào)查，通過(guò)實(shí)驗(yàn)研究發(fā)現(xiàn)了一些有關(guān)隱私保護(hù)存在的風(fēng)險(xiǎn)。本文主要從常用軟件、網(wǎng)絡(luò)服務(wù)、移動(dòng)終端以及聲光電磁等四個(gè)方面介紹了實(shí)驗(yàn)室的研究結(jié)果和發(fā)現(xiàn)。文中內(nèi)容注重實(shí)例研究和數(shù)據(jù)再現(xiàn)，希望引起有關(guān)部門對(duì)個(gè)人隱私相關(guān)問(wèn)題的關(guān)注。

　　本文得到了北京大學(xué)互聯(lián)網(wǎng)安全技術(shù)北京市重點(diǎn)實(shí)驗(yàn)室的幫助。

　　1 終端常用軟件與用戶隱私保護(hù)

　　1.1網(wǎng)絡(luò)瀏覽器

　　許多網(wǎng)絡(luò)瀏覽器為了增強(qiáng)用戶體驗(yàn)、提供個(gè)性化服務(wù)、發(fā)展定向廣告業(yè)務(wù)等目的，通常會(huì)在后臺(tái)收集用戶的網(wǎng)頁(yè)瀏覽記錄等個(gè)人信息上傳到服務(wù)器。然而許多收集用戶個(gè)人信息的行為是在用戶不知情的情況下進(jìn)行的，或者所收集的信息超出了軟件《安裝許可協(xié)議》中進(jìn)行了明確規(guī)定的范圍。

　　實(shí)驗(yàn)室以360安全瀏覽器當(dāng)前最新版本5.0為例，對(duì)瀏覽器的用戶隱私泄露問(wèn)題進(jìn)行了分析和研究，網(wǎng)絡(luò)瀏覽器中的隱私泄露威脅存在于以下幾個(gè)方面：

　　1)預(yù)留后門，植入代碼：一些瀏覽器在使用過(guò)程中會(huì)在用戶不知情的情況下在后臺(tái)執(zhí)行《安裝許可協(xié)議》規(guī)定內(nèi)容之外的功能，360安全瀏覽器在運(yùn)行過(guò)程中約每5分鐘與服務(wù)端進(jìn)行一次通信，并下載一個(gè)文件，如下圖所示，下載的文件為se.#/cloud/cset18.ini，但是從數(shù)據(jù)流可以看出該文件實(shí)際上是一個(gè)PE文件，文件頭中標(biāo)識(shí)的產(chǎn)品名稱為DataDll。

(責(zé)任編輯：鑫報(bào))