标签归档：网购安全

　最近，网上的360侵犯用户隐私的问题正闹得沸沸扬扬呢，想来，这些对我们经常网购的妈妈们来说也是非常重要的，所以就分享下这篇文章。

昨日(2月25日)，正是奇虎360所有APP产品被苹果全面下架一个月的日子。

就在此前，360的CFO亲赴美国“负荆请罪”，但360相关产品并未重新上架。

知情人士向 《每日经济新闻》记者透露，国家版权局内部已讨论确定，360搜索引擎严重违反Robots国际规则，目前正在拟定相关处罚决定，近期将在行政处罚会议上责令360停止侵权，进行整改。

据悉，有“两会”代表委员正在草拟严惩不正当恶性竞争破坏产业，以及“3·15”应该将隐私保护列入重点的议案提案。

《信息方略》的一份调研结果显示，回答“拒绝安装360”的企业比例高达60%。

一家以声称安全起家的互联网公司，正面临“不安全”的声讨……

360到底怎么了?这是一家什么样的企业?带着这样的疑问，《每日经济新闻》记者经过数月调查，并在微博名人“独立调查员”等一批程序“猿”的帮助下，揭开了360的层层内幕。

360创始人周鸿祎一直对外宣称，360成功的秘诀是 “破坏性创新”。但记者调查发现，360的成功，更重要的是在于其“创新型破坏”：破坏才是目标。通过破坏，打破既有规则，从中获得市场与利益。

而这一破坏的基础，便是对互联网世界最基本的准则——最小特权原则的践踏。

为全面还原360的真实面目，“独立调查员”们以超人的技术能力与艰辛的劳动，剥茧抽丝般一层层揭开，将其内部机制破解成功。

360发家于 “360安全卫士”、“360安全浏览器”，而这两款产品甫一面世，便携带了这家公司的癌性基因：以违反“最小特权原则”为基石而构建。

《每日经济新闻》记者第一次查清，360是如何在其庞大的以安全著称的“安全卫士”、“安全浏览器”软件中，植入非法程序，并通过该非法程序中的“后门机制”与360云端配合，形成全球独一无二的秘密内部机制。

最令人惊诧的，是即使在360内部也属高度机密的 “V3升级机制”。当360要发动一场讨伐竞品的战争时，其便启动“V3机制”——通过“安全卫士”、“安全浏览器”，在用户电脑中私自卸载竞争对手的产品，私自安装自己要推广的产品，从而以最便捷的方式一举占领市场，这就是360常胜不衰的真正秘诀。

在这场看不见的战争中，360表现出两个粗暴：粗暴侵犯网民的合法权益(隐私权、知情权、同意权)、粗暴侵犯同行的基本权益，肆无忌惮地破坏行业规则，从而实现其“一枝黄花”式的疯狂成长。

360现象，不仅对行业有巨大的破坏性，对互联网秩序产生严重的破坏力，更是对整个社会产生“癌性浸润”。

这种“癌性浸润”，让原本的市场竞争转向了底层控制力的交战。《每日经济新闻》记者获悉，百度即将砸重金投向安全领域，最快将于今年上半年正式推出，这与经历“3Q大战”的腾讯进驻安全领域如出一辙。

更为可悲的是，为了防御360的“癌性浸润”，从底层控制到应用层几大巨头均涉足其中，这样带来的直接后果就是，未来中国互联网将变成一个腾讯、百度、阿里、360“四国顶立”的擎天柱式体系。而这将让一个个丰满、丰富的热带雨林式生态环境变成巨无霸们为生存而生灵涂炭的地方。

360会“立地成佛”么?这或许会是一场持久战……

《每日经济新闻》将持续关注。

(出于保护记者人身安全的考虑，本组稿件记者署名均为化名)

调查员独白：我为什么反360?

我先讲一个故事吧。

在现实生活中，我们都知道一个最简单的常识：小区的保安公司都是必须向业主收取服务费的。但是，某年某城市的一个小区，来了一个K保安公司，宣布他们将为小区提供免费服务。经过几轮波折，最终K保安公司实现接管小区保安业务。

K公司入驻后，当然全部换上K保安人员，并迅速换上K公司特产的小区监控系统——在小区的每一个视角都安装了监视体系。业主们觉得，这真是天下难找的大好事啊，居然能够免费获得最好的安全保卫。

不久，K公司出于安全考虑，将物业公司辞了，换上K安全物业公司;再接着，小区园林服务公司也换成K安全园林公司;再接着，业主所有私家车都装上了K安全GPS导航;再接着，K安全物流、K安全农贸、K安全服饰、K安全电视、K安全电脑、K安全冰箱与热水器、K安全门控与门锁……小区业主的所有一切都被换上了K安全的标志。

K安全公司能将业主的这一切统统换掉，只有一个原因：那就是，这一切“安全”方面的服务，都是免费的。

但有一天，B业主夫妇在家中行房事时，黑暗中发现家中有异样，打开灯一看，一个保安正在床前监控着这对夫妇的云雨过程。这对夫妇羞愤难当：你是怎么进来的?

保安说：我有钥匙，出于对你们性生活安全的考虑，我有权保护你们。

B业主夫妇找来安全方面的专家，来保护自己的安全隐私，结果却发现，保安不仅在夫妇行房事时可以进来“免费观赏”，他们在任何时候都可以自由进出业主的房间;他们不仅在小区的任何公共空间安装了监控系统，同时在业主室内的任何一个视角，都秘密安装了监控器。

这对夫妇决定召集全小区业主反对K保安公司的所有侵犯行为。

但让小区所有业主异常惊讶的是：就在开庭前一天，网络上突然出现大量B业主夫妇的信息，比如，B业主女臀部有三颗痣的图片在网络上大量流传;B业主夫妇的工资单被晒;B业主男与前女友10年的情书来往从其前女友的电脑中被挖出来。

B业主夫妇顿时陷入网络漩涡

……

在中国互联网领域，360所充当的，就是这个K保安公司。

在中国，为什么360能够获得如此重要的市场地位，除了用户在隐私权、知情权、网络自主权方面的意识不强外，最大的问题还是中国网民对互联网来说还是“小白”，他们没有办法看清360干了什么，也没有办法辨清什么是可行的，什么是不可行的;也不清楚360的一些行为在今天意味着什么，在明天又将意味着什么。

我脑海中，一直在重复卡夫卡小说《城堡》中的场景，你不知为什么，你也不知是怎么了，然后，你就任人宰割了。

森白的月光下，那把霍霍磨着的长刀……

——来自独立调查员的自白

技术篇

360：互联网的癌细胞

每经记者 秦俑

深圳，红树林，旁边就是深圳湾公园，有蜿蜒的海堤风景带;海的那端是云雾间的山峦以及错落的建筑，那是香港特别行政区。

经过前期网上100多天艰苦的技术交流后，《每日经济新闻》记者终于约到了“独立调查员”。这是我们之间的第二次见面。这一次，我们相约只做一件事情：将360(奇虎360科技有限公司，本文简称为360)在幕后所做的一些难以见光的行为，在网上重新演绎一遍。

这一过程漫长而复杂。几天几夜里，独立调查员展开的网络实证让人触目惊心，许多动态的过程无法通过平面文字呈现。事实上，独立调查员曾经在网上披露的内容，绝大多数网民也不可能看懂。

2012年10月，一个署名“独立调查员”的微博开始向360发难，时至今日，《每日经济新闻》记者已跟踪此人整整3个月：初始时基本上通过网络实现沟通，渐渐地，有了电话中的直接交流。

在思维碰撞中，记者发现，“独立调查员”对360的反感是深切的;他对360的研究也是深刻的。令《每日经济新闻》记者万分好奇而且不解的是：他的动力来自何方?

“如果你得了癌症，你的第一反应是什么?”独立调查员反问道，“那一定得赶快把它切除掉!而360正是网络社会的毒瘤。此瘤不除，不仅中国互联网社会永无安宁之日，整个中国都永无安宁之日。”

独立调查员分析说，不要小看了苹果对360产品下架一事，这种下架的期限极有可能是“永久性”。为什么一个在中国能够获得如此巨大影响力的公司，会在一家全球性大公司处遭遇截然相反的待遇?“这只能说明眼下的互联网空间没有能力排除自身的毒瘤。而苹果下架360，背后正体现出对肿瘤的自体免疫排斥性，这是一个网络社会健康的标志。”

独立调查员认为，他作为一名程序员，就是要从技术层面来理清360这个“DNA”的基因突变。“这个突变的基因，就是360安全卫士或360安全浏览器，一切都会发生改变。”

互联网其实与人体一样，本身具备着抗癌的免疫力。一旦发现癌细胞，自身会启动自动识别与排斥机制，比如“最小特权原则”就是互联网江湖防止自身“癌变”的免疫机制。

所 谓 最 小 特 权 (LeastPrivilege)，指的是“在完成某种操作时所赋予网络中每个主体 (用户或进程)必不可少的特权”;最小特权原则，则是指“应限定网络中每个主体所必须的最小特权，确保可能的事故、错误、网络部件的篡改等原因造成的损失最小”。

这一特权最通俗的说法就是：你不要代替用户行使权力，你的特权越小越少越好。这样，才是对用户最大的保护。能不作为处，不作为。

“而奇虎360的‘基因变异’正体现在此处，表现为 ‘奇虎360原则’——以安全的名义，在用户知情或不知情的情况下，直接代表网民行使权益。”独立调查员说，“其实，最小特权原则非常简单。比如一个电话检查员，为了检查你家的电话是否正常好使，便在主人不在家时，直接打开你家的门，试用了一下电话;或者说，因为你家的狗在叫，物业打开你家的门，直接将狗杀了。这都是违反了最小特权原则。而360最大的问题就是以安全的名义，践踏了这一原则。”

360是如何通过环环相扣的程序设计，就像本文开头部分的K保安公司监控业主夫妇房事一样，或就像电话检查员径直打开主人房门查线一样，或就像物业工作人员直接打开业主房门进去把主人的狗杀掉一样，在用户的电脑里横冲直闯、恣意妄为?本文将为读者揭开360相关产品背后的层层暗箱操作链条。

技术篇之一·黑匣子

360产品内藏黑匣子：工蜂般盗取个人隐私信息

每经记者 秦俑

这是一件真实的事情：多年前，业内一家知名IT公司一个产品将上线，但蹊跷的是，该产品上线前一天，360的同类产品突然上线。而且，360上线产品的页面与该公司准备上线的版本几乎一模一样。这家IT公司的此款产品不上线已不可能，而改版也已不可能。被逼无奈之下，该产品只能硬着头皮上线。让这家IT公司哭笑不得的是，由于此款产品上线时间比360同类产品晚一天，所以用户普遍认为，该公司的产品抄袭了360产品。

此类诡异怪事，在业内已不止一次发生。

谁是泄密者?上述IT公司最终未能找到“卧底”，不过开始将质疑对象聚焦在360产品身上。因为实查结果发现，该公司不少员工电脑上安装了360相关产品。

出于安全考虑，该公司要求所有员工的工作电脑中不得安装360产品。与此同时，公司内网环境中，全面禁止360产品。从此，确实没有再发生过类似的泄密情况。

据《每日经济新闻》记者了解，国内最早全面禁用360产品的企业为腾讯、百度、金山等一批公司。在这些公司的办公环境中，完全屏蔽360产品，如确因公司研究性工作需要，才可以安装虚拟机使用360产品。

国内几家互联网巨头公司，均以安全为由禁止使用一家以互联网安全著称的公司的相关产品，这在中国IT界构成了一道未解的谜团。

大型公司尚且对360产品避之不及，对于普通用户来说，使用360相关“安全”产品，安全吗?

在中国有“黑客教父”之称的安全技术专家“黑客老鹰”，即IDF互联网情报威慑防御实验室创始人万涛认为，从隐私保护和用户权益的角度讲，360产品确实存在需要澄清的地方。但中国用户目前在隐私保护方面的意识并不强，这是一个比较普遍的现象。因为对许多用户来说，“我上网就是看看新闻，玩玩游戏，我没有隐私”。这一观点非常流行。

万涛表示，而在另一方面，多年来尽管民间在破获360侵犯隐私等方面做了许多努力，并查获了许多证据，但360在这方面的“反应”也非常“严密”。此外，获得的一些突破性证据因为过于专业，也不易让普通用户看懂，因此也就缺乏相应的感知。

黑客揭秘：360安全产品背后的“安全”陷阱/

在深圳红树林，独立调查员为《每日经济新闻》记者进行了现场演示。他特意在自己的电脑上安装了360安全浏览器，并打开网络通信监视工具，这时可以看到，360安全浏览器在其电脑后台上就像一只工蜂，始终不停地忙碌着。

然后，独立调查员又打开IE、腾讯、猎豹、chrome等浏览器，每一个浏览器都很安静，没有任何动作。

 

 

“360安全浏览器在干嘛呢?谁也不知道。为什么要这样忙碌呢?作为浏览器，其作用就是可以显示网页服务器或者文件系统的HTML文件内容，并让用户与这些文件交互的一种软件。根据最小特权原则，你是没有理由在我的电脑里不停地‘工作’。你要问他在做什么，他就说，是为了你的安全。”

“明明知道360在做不应该发生的事情，但不知道发生的是什么事情。这就是360留给中国所有安全专业人员最大的课题。”独立调查员解释说，这是因为360在这方面做了非常缜密的设计，其防御体系相当严密，要突破防线有所收获，是件非常困难的事情。

而这，也正是许多从事安全的专家们感兴趣的事情。

2010年2月6日，360多年的宿敌——瑞星拿出了一份 “证据”，其发布的《奇虎360利用“后门”拿走了用户什么》一文，利用大量技术细节说明360安全卫士在安装进用户电脑时，会偷偷开设后门，并时刻监视用户访问网站，将相关信息上传至360网站。

此事标志着360第一次露出“不安全”的真面目，从此一发而不可收拾。

据《每日经济新闻》记者调查，国内有一大批黑客对破获360的防线，以及搞明白360这个黑匣子内到底有什么非常感兴趣，想通过攻击360而获得其侵犯用户隐私信息的证据。他们之间甚至有一个松散型的组织，经常交换这方面的信息。但与此同时，也有些黑客最终被360“招安”，成为其公司成员。

2010年12月31日，在黑客狂轰滥炸360服务器后，360防线被攻破，存储于其服务器上的大量用户隐私数据喷涌而出，被谷歌搜索爬虫自动抓取，并公告天下。360多年来宣称的 “用户隐私大于天”的谎言正式被揭穿。

 

这份意外泄露的文件详细记录了大量360用户的全网访问过程，包括浏览的网页、下载过的应用、搜索的关键字等，并将这些访问记录与唯一用户挂钩。在这个服务器中，每个用户对应一个字符串，通过查询字符串，可以了解用户的所有个人信息、上网浏览记录、账号密码，例如用户在百度搜索关键字、淘宝购物记录、金蝶、奇瑞等企业内部财务网络数据、某政府机构官方邮箱用户名及密码等链接数据。

《每日经济新闻》获得的一份对泄露日志文件分析统计的结果显示，此次泄密事件涉及总条数141万条，其中涉及用户名信息的条目有247326 个，既包含用户名又包含密码条目有816个。而这对于360收集的海量数据来说只是冰山一角，截至目前为止，360从没有公开解释被泄露的数据总量有多少，被下载了多少次。

然而，有关360如何“利用”用户的信任，如《全民公敌》影片中的卫星一样“间谍”式地监控着用户的电脑，这个谜团却依然没有办法破解，至今没有一家安全厂商拿出这个过程的有力证据。

独立调查员告诉记者，360安全卫士、360安全浏览器，其内部运作流程就像一个暗箱，外部人可以听到里面有动作，但却没有办法知道里面发生了什么，以及它如何阻止外部人破解它。

而独立调查员却偏执地选择了这条破解之路。他先制作了一张简单的图表，以揭示360拳头产品360安全卫士内部的操作模型(如图)。

 

 

从这个图中可以看出，360安全卫士对用户在电脑上进行软件操作、文档操作等所有操作举动均秘密进行监视、记录，然后进行压缩后上传至云端服务器;过去，上传的过程为明文上传，这对用户的隐私带来非常严重的威胁，在经历过几次大的泄密事件后，目前上传文件已经加密。

文件上传到360云端存储后，文件会立即在本地被删除，这招防御术非常凶狠，即使有人破解其行为，并获得文件证据，但因为随时的删除，很难将证据做实，变成死无对证的孤证。

用户电脑中的360安全卫士这一套运行机制都是事先预设好的，可以独立操作完成;但实际上，360云端(360安全数据中心)对用户客户端的 360安全卫士具备直接控制能力。360云端不仅可以下达专门的指令(后文还将详述)，同时一旦360安全卫士发现有人在监视其通信操作等，会发出安全警告以阻止继续操作并限时自行禁止。这也给破获工作带来相当程度的干扰。

据一名多年研究360产品的黑客告诉《每日经济新闻》记者，“设置如此高难度障碍的人一定是行业的高手。可以断定，360内部一定有国内顶尖级的黑客高手。他们才有可能做到既做暗事，又不留任何把柄。这就像是一个江洋大盗，来无影，去无踪，飘忽不定，作案后现场不留任何痕迹，实在是高精尖的设计。”

这名黑客发现，360安全卫士的暗箱操作行踪越来越没有规律可循，换句话说，其运作规律经过精心策划，非常不容易被外界掌握。同时，其获取信息的区域半径越来越由中心城市向二、三、四线城市延伸。这样的话，要想抓到证据就更为艰难。“中国拥有30多个省级行政区，336个二级行政区，还不包括数以千计的三级、四级行政区，这就相当于360安全卫士在中国网民的生活中布下了天罗地网。”

据《每日经济新闻》记者调查发现，国内不止一家公司准备投入大量人力来破获360的违法行为，但最终都偃旗息鼓。原因就在于，360收集用户信息的行为 “就像空中划过的彗星，茫茫夜空，布下天罗地网，时刻守候，才有可能有所斩获，这样的投入产出比太低了”。

黑匣子现身：对用户个人信息涉嫌暗箱操作/

“破解360安全卫士的非法操作，是一件很好玩的猫捉老鼠的事情。”上述黑客向《每日经济新闻》记者感叹说，360安全卫士的技术架构非常复杂，组件有很多程序，软件包有几十个可执行的程序，还有扩展库。如果要查清楚是否侵犯用户隐私，则需要对每个程序进行分析，就像分析病毒一样地分析每个文件，而这需要投入大量的时间和精力。

这名黑客给记者展示了许多“同行”间来往的邮件，此中展现出破解之后的喜悦，以及经验的交流。