中科院报告:360产品存在三大隐私安全问题

  • 时间:
  • 浏览:0
  • 来源:幸运快3_快3大小_幸运快3大小

2012-11-23 10:18  cnbeta    

我就要评论()

字号:T|T

350浏览器侵犯用户隐私话题再次引人关注。据《上海青年报》11月23日报道,中国科学院信息工程研究所主办的“隐私保护”学术研讨会在京召开。会上一份由中科院保密技术攻防重点实验室研究撰写的《当事人隐私泄露风险的技术研究报告》报告揭示:经常以安全为名的350浏览器在采集、运作原理方面 竟然处在着三大隐私安全疑问报告 ,原应着分析给用户安全带来严重危害。

“这原应着分析给用户安全带来严重危害”,《上海青年报》援引一位与会专家观点称。

此前,工信部曾公开表态将对350安全疑问报告 展开调查,但目前尚没法权威机构出台令人信服的调查结果。中科院作为信息研究的专业机构,此次所出具的该项报告,或将成为推动该疑问报告 补救的重要妙招。

《上海青年报》还从会上获悉,中科院针对当前互联网常用产品及服务的隐私保护疑问报告 进行了整体研究,涉及浏览器、即时通讯、电子商务、社区网站等 多个类别。从记者辗转获得的报告原文来看,在浏览器隐私保护情況的研究章节里,中科院信息工程研究所研究人员对350安全浏览器进行了详细的研究和分析, 并归纳列举出350安全浏览器处在的三大安全疑问报告 ,其中包括: 采集用户所打开过的浏览页面地址、采集用户在浏览器地址栏输入的信息以及预留后台端口,在用户不知情的情況利用云端指令,在后台执行《安装许可协议》规定 内容之外的功能等。

调查中,研究人员通过专业技术手段对整个软件运行过程及环境进行了综合测试,证实了350本身 处在安全疑问报告 ,并在实验室进行了多次复现。研究人 员在报告中举例称,当用户在350安全浏览器地址栏中输入一一一兩个详细的网址时,350浏览器会向350公司的特定服务器依次发送用户的每一次输入数据直至输 入完成,发送的信息含晒 了都还能否 确定用户唯一性的ID,这原应着分析会原应着特定用户的地址栏输入以及浏览记录容易被跟踪和泄漏。另有分析显示,“你你这个 组件或以欺骗 的妙招被下载到电脑以实现350安全浏览器的某些未明示的功能,也原应着分析造成用户的电脑被恶意侵入”。

实际上,在过去数月,350安全软件经常深陷安全及隐私泄漏漩涡,饱受来自日本外国网友、媒体、意见领袖和主管部门的质疑。知名打假人士方舟子也 就安全疑问报告 对350软件发出连番质疑,指称350私自窃取用户隐私、伪装系统补丁、捆绑安装软件以及350通过“云控制”远程操控用户电脑等。尽管350 方面并未正面表态你你这个 疑问报告 和质疑,仅仅将其归为“竞争对手迫害”,但层出不穷的真实案例,仍然引发几滴 用户关注并卸载350,某些世界50强企业也外部 通知禁用350全系产品。根据CNZZ最新发布的数据,自方舟子开始英语 英语 打假350以来, 350浏览器的市场份额下降了1.6%,保守估计流失用户50万。

面对沸沸扬扬的“350隐私泄露门”, 10月25日,工信部新闻发言人、通信发展司司长张峰表示,工信部原应着分析介入调查方舟子指控的奇虎350浏览器窃取用户隐私一事,“原应着分析查实确有违法违规行 为,将依法予以严肃补救”。350方面随即表态将主动将产品送至国家质检总局和工信部检验。

对于350的主动“送检”, 互联网威慑防御(IDF)实验室创始人、安全专家万涛认为作用不大。万涛指出,350使用的是云端控制技术,单检测桌面软件没法检测到疑问报告 ,对整个过程与环境进行检测评估还能否 更好地说明疑问报告 。

中国人民大学教授石文昌曾表示,原应着分析安全软件不遵守软件安全机制设计的重要原则之一 -- 最小特权原则(POLP,principle of least privilege),就是我利用特殊权限,进行非功能实现所都要的操作,其对系统权限的滥用将影响到用户系统的信息安全。

相关与会专家表示,“根据此次中科院的研究报告,和但是社会各界对350软件安全性的质疑,350公司以安全为名、行盗取泄漏用户隐私之实的一 系列行为,原应着分析严重违反了工信部2011年第20号令颁布并于2012年3月15日实施的《规范互联网信息服务市场秩序若干规定》中的相应条款”。

该《当事人隐私泄露风险的技术研究报告》标明“V1.0”,发布者为“中国科学院信息工程研究所保密技术攻防重点实验室”,发布时间是2012年11月。

以下为《当事人隐私泄露风险的技术研究报告V1.0》的帕累托图内容:

前言

随着国内外当事人隐私泄露事件的频繁处在和对当事人隐私保护的重视,亲们 没法关注日常工作生活中计算机软件、移动终端以及高技术带来的当事人隐私问 题。中国科学院信息工程研究所保密技术攻防重点实验室对当前常用软件和终端产品的用户隐私保护情況进行了初步调查,通过实验研究发现了某些有关隐私保护存 在的风险。本文主要从常用软件、网络服务、移动终端以及声光电磁等十个 方面介绍了实验室的研究结果和发现。文中内容注重实例研究和数据再现,希望引起有关 部门对当事人隐私相关疑问报告 的关注。

本文得到了北京大学互联网安全技术北京市重点实验室的帮助。

1 终端常用软件与用户隐私保护

1.1网络浏览器

某些网络浏览器为了增强用户体验、提供个性化服务、发展定向广告业务等目的,通常会在后台采集用户的网页浏览记录等当事人信息上传到服务器。然而 某些采集用户当事人信息的行为是在用户不知情的情況下进行的,原应着分析所采集的信息超出了软件《安装许可协议》中进行了明确规定的范围。

实验室以350安全浏览器当前最新版本5.0为例,对浏览器的用户隐私泄露疑问报告 进行了分析和研究,网络浏览器中的隐私泄露威胁处在于以下有几只方面:

1)预留后门,植入代码:某些浏览器在使用过程中会在用户不知情的情況下在后台执行《安装许可协议》规定内容之外的功能,350安全浏览器在运 行过程中约每5分钟与服务端进行一次通信,并下载一一一兩个文件,如下图所示,下载的文件为se.350.cn/cloud/cset18.ini,但是从数据 流可不都要看出该文件实际上是一一一兩个PE文件,文件头中标识的产品名称为DataDll。

图1-1

将该文件从数据流中提取出来得到一一一兩个dll文件,查看该文件的属性,得到其文件说明为“350安全浏览器 安全网银”。

图1-2

从该文件中提取到一段Base64编码的文本信息:

W3N0XQ0KY291bnQ9Mg0KW3N0MV0NCmlkPTENCnVybD1odHRwOi8vd3d3Lm

JhaWR1LmNvbS9zZWFyY2gvcmVzc2FmZS5odG1sKg0KW3N0Ml0NCmlkPTINCnV

ybD1odHRwOi8vdmVyaWZ5LmJhaWR1LmNvbS92Y29kZT8qDQpbdHJheW1zZ

10NCnN0YXRpY3NpZD0zMQ0KY291bnQgPSAxDQp1cmwxPWh0dHA6Ly93d

3cuYmFpZHUuY29tL3NlYXJjaC9yZXNzYWZlLmh0bWwqDQpbbWFpbl0NCmhrc

mVzMj0xDQpjYmM9MQ0KW2NiY10NCnVybGNvdW50PTENCnVybDE9aHR0cDo

vL3d3dy5iYWlkdS5jb20vc2VhcmNoL3Jlc3NhZmUuaHRtbCoNCmNiY2NvdW50PT

INCmMxPUJBSURVSUQNCmMyPUJEVVNT

经过解码后的内容为:

[st]

count=2

[st1]

id=1

url=http://www.baidu.com/search/ressafe.html*

[st2]

id=2

url=http://verify.baidu.com/vcode?*

[traymsg]

staticsid=31

count = 1

url1=http://www.baidu.com/search/ressafe.html*

[main]

hkres2=1

cbc=1

[cbc]

urlcount=1

url1=http://www.baidu.com/search/ressafe.html*

cbccount=2

c1=BAIDUID

c2=BDUSS

由此可推测该DLL文件的功能与网银无任何关系,就是我跟搜索引擎百度相关原应着分析是为了躲避Referer字段的检查。你你这个 行为本身 不涉及用户隐私,但是具有欺骗性。

此外,350安全浏览器回会在用户不知情的情況下定期从服务端下载和执行一一一兩个名为“ExtSmartWiz.dll”的动态链接库。原应着分析该动态 链接库被植入恶意功能原应着分析不法分子利用域名劫持等妙招对浏览器下载的“ExtSmartWiz.dll”文件进行恶意篡改,原应着分析给用户安全带来严重危害。

2)采集用户浏览记录:什么都浏览器会将用户所打开的页面地址上传到服务器,以分析用户的当事人爱好原应着分析统计网站的受欢迎度,从而在浏览器首页更好 地为用户推荐个性化内容。你你这个 行为也侵犯了用户的隐私数据。下图为当用户使用350安全浏览器5.0访问网页的但是,每打开一一一兩个网页但是回会向350的特 定服务器发送一一一兩个POST请求,内容含晒 加密过的url信息。

图1-3

3)采集浏览器地址栏输入信息:当用户在浏览器地址栏中输入网址的但是,什么都浏览器为了帮助用户自动补全网址,会把用户所输入的内容上传到服务 器来。下图为当用户在350安全浏览器5.0的地址栏中输入“10.105.240.57”时,浏览器会将该地址发送到sug.so.350.cn,但是 发送时附带的Cookie中会含晒 具有用户唯一性标志的guid值,这原应着分析会原应着特定用户的地址栏输入以及浏览记录被跟踪和泄漏。

图1-4

下图所示为当用户在350安全浏览器5.0的地址栏中输入“weibo.com”的过程中,每输入一一一兩个字符,浏览器就会向 sug.so.350.cn发送当前浏览器地址栏中的内容(即“w”、“we”、“wei”、“weib”、“weibo”、“weibo。”、 “weibo.c”、“weibo.co”、“weibo.com”)。