近日,打假斗士方舟子抨击360侵犯用户隐私、360产品不安全成为互联网业界的最大新闻。随着方舟子和360两方持续交锋,也激发了不少技术专家和软件工程师站出来,通过多种技术手段分析360产品的安装、运行、网络通信和卸载过程。越来越多的证据表明:360拥有一套完整的窃取用户隐私和控制用户电脑的手段。
第一步:监控网民电脑,不断上传第三方软件使用信息
网友“liuwater”在搜狐微博称,发现360会将个人支付宝文件夹的文件传送到服务器,由此可能会截获用户身份甚至是密码等敏感信息,这是典型的木马软件的行为!此外,liuwater分析上传数据发现,他安装的软件名基本都被360私自上传,包括试用软件。而这种报告对一家软件公司来说非常重要。
从事计算机应用行业的网友“我是海兽”也在微博上发表最新证据,表明360上传IE浏览器崩溃报告及用户隐私,其中内容包括计算机名,用户名,网址,第三方日志文件路径等重要隐私信息。该网友认为,360安全卫士不仅侵犯了用户隐私,也直接侵犯了微软公司的权益。方舟子在转发这一证据时评论道,这就跟侦探去翻别人的垃圾是一样的道理。
这一证据公开后,360隐私官谭晓生在微博上回应称360上传IE崩溃信息是为了提升产品稳定性,但遭到众网友的质疑。一位网友在评论中问道:难道360公司还能帮助微软提升IE浏览器的稳定性?
360创始人之一、金山网络CEO傅盛透露:“360偷窃隐私这件事是百分之百存在的,很多人的文档会被看到,个人上网的痕迹会被看到,一个官员上午在写材料,下午上某些很有生活情趣的网站……”。而腾讯前拍拍网技术总监魏华武透露,引发3Q大战的原因是腾讯发现“360就是木马病毒,直接窃走QQ好友关系,这是腾讯的最重要的资产。”
第二步:随时调整监控策略,使周鸿祎的意志在5分钟内贯彻到上亿台电脑
身为软件工程师的网友“独立调查员”发现,即使不访问任何网页、甚至不动鼠标键盘,360安全浏览器也会每5分钟会与服务器进行一次通信,下载一个伪装成“安全网银”的组件。该文件下载后并不存入磁盘,而是动态控制360浏览器进行特定动作的执行。这个周期性的过程在后台运行,是全自动、无提示、不留任何痕迹的,所以很难被发现。
这位工程师表示,只要360公司愿意,可以随时通过修改这个组件的内容,向运行了360浏览器的电脑发布任意指令,几乎可以做到想干什么就干什么,完全将用户电脑变成了肉鸡。换句话说,周鸿祎的意志在5分钟内就可以贯彻到上亿台电脑中。已经有多个有力的证据表明,这个说法并不夸张,也绝非危言耸听。
该网友爆料在12日晚爆料该漏洞后,13日上午发现360公司已连夜悄悄做了改动,360服务器的指令文件被改成了空文件。他表示担心360公司会指控他造谣,所以保留了带有360数字签名的DataDll文件,必要时可交由警方鉴定。该网友最新的微博还表示,自从他开始发布360产品的问题以来,还没有任何一个360官微或高层微博敢转评他的帖子,更谈不上解释和辟谣。
第三步:远程控制卸载过程,用户想不用都难
360对网民电脑的控制不限于用户使用360浏览器和搜索引擎,甚至包括会远程控制卸载过程,决定卸载哪些控件、保留哪些功能。整个过程不露声色,不留痕迹,用户即使发现也很难迅速留下证据。
“独立调查员”在微博中表示,他分析出来360软件的卸载配置文件并未保存在电脑本地,而是360云端服务器上的一个uninstall.ini文件。360公司可以随时下发一个云端指令,通过修改这个文件来修改卸载策略,卸载过程完全控制在360手中。这也解释了为什么很多用户反馈360浏览器无法下载时,周鸿祎可以在微博中宣称:360浏览器可以正常卸载。
“@独立调查员”认为,360浏览器卸载程序是不折不扣的木马。根据360隐私白皮书,卸载程序时可以上传卸载记录(如被卸载的软件版本等)。但是在卸载时360还下载程序控制数据,这就完全违背常理了,完全是把用户电脑当肉鸡。
所以从以上三个步骤可以看到,360产品不仅具有窃取、上传用户隐私的功能,并且有完善的逃避追踪和控制卸载的策略,可以随时启动或者停止上传隐私的行动,也可以采取拒绝卸载、不完全卸载等方式保留后门,从而为长期霸占和控制用户电脑创造条件。
若非遇到方舟子,以及这些执著的程序员,或许360的这些控制用户电脑的手段还蒙在鼓里。中国几亿台电脑是否真的安全,相信很快就会水落石出。