周鴻祎
28日下午�,360公司以首次媒體開放日的形式對(duì)《每日經(jīng)濟(jì)新聞》不久前的報(bào)道《360黑匣子之謎:奇虎360“癌”性基因大揭秘》進(jìn)行逐條回應(yīng)。我以獨(dú)立媒體人的身份入場(chǎng)(之所以強(qiáng)調(diào)這個(gè)是因?yàn)閾?jù)說某些技術(shù)人員和《每經(jīng)》的記者被拒絕入行了)���,記錄下了對(duì)問題回應(yīng)的要點(diǎn)。由于涉及的技術(shù)問題比較多�����,我會(huì)盡自己能力進(jìn)行一些解讀����,但畢竟不是該行業(yè)的技術(shù)大牛,有理解偏了的也請(qǐng)海涵�、指正。
每日經(jīng)濟(jì)新聞的報(bào)道可以分為兩大部分�,一部分是對(duì)此前針對(duì)360產(chǎn)品安全、商業(yè)模式等方面的報(bào)道進(jìn)行的引述����、轉(zhuǎn)載�����,另一部分是通過對(duì)技術(shù)人員和相關(guān)行業(yè)人士的采訪����,得到的調(diào)查結(jié)果�����、數(shù)據(jù)與結(jié)論�。第一部分涉及面龐雜,時(shí)間跨度很大��,有些問題360方面也曾以各種形式進(jìn)行回應(yīng)����,因此現(xiàn)場(chǎng)發(fā)問的媒體人不多,我也沒有花過多精力去再現(xiàn)���。我們主要就每經(jīng)報(bào)道中的新增信息量進(jìn)行發(fā)問與再現(xiàn)�����。
每經(jīng)報(bào)道中首先提到的是360安全瀏覽器在用戶無操作時(shí)也頻繁與后臺(tái)服務(wù)器通訊��。報(bào)道原文如下:
獨(dú)立調(diào)查員為《每日經(jīng)濟(jì)新聞》記者進(jìn)行了現(xiàn)場(chǎng)演示�����。他特意在自己的電腦上安裝了360安全瀏覽器����,并打開網(wǎng)絡(luò)通信監(jiān)視工具,這時(shí)可以看到��,360安全瀏覽器在其電腦后臺(tái)上就像一只工蜂�����,始終不停地忙碌著���。
然后,獨(dú)立調(diào)查員又打開IE���、騰訊��、獵豹�、chrome等瀏覽器���,每一個(gè)瀏覽器都很安靜�,沒有任何動(dòng)作。
“360安全瀏覽器在干嘛呢?誰也不知道���。為什么要這樣忙碌呢?作為瀏覽器�,其作用就是可以顯示網(wǎng)頁服務(wù)器或者文件系統(tǒng)的HTML文件內(nèi)容����,并讓用戶與這些文件交互的一種軟件。根據(jù)最小特權(quán)原則��,你是沒有理由在我的電腦里不停地‘工作’����。你要問他在做什么,他就說��,是為了你的安全����。”
這段報(bào)道可以引出這樣一個(gè)問題:360瀏覽器是否在用戶沒有操作時(shí)仍在后臺(tái)上傳了數(shù)據(jù)?如果有的話,這些數(shù)據(jù)是否包含了用戶信息與隱私?
360公司董事長(zhǎng)周鴻祎在現(xiàn)場(chǎng)回應(yīng)了這一問題����。他表示��,360瀏覽器是世界上首家以安全為主打概念的瀏覽器���。為了將用戶實(shí)時(shí)隔離于惡意網(wǎng)址之外,瀏覽器會(huì)每隔5分鐘與服務(wù)器通訊一次����,查詢惡意網(wǎng)址庫的更新,并將近期頻繁出現(xiàn)的惡意網(wǎng)址庫下載到用戶機(jī)器上進(jìn)行防護(hù)����。這一操作并沒有傳遞任何用戶信息。
但由于整個(gè)惡意網(wǎng)址庫數(shù)量龐大(即互聯(lián)網(wǎng)有史以來幾乎所有的惡意網(wǎng)址)全部下載到用戶電腦中并不現(xiàn)實(shí)���,因此對(duì)打開了惡意網(wǎng)址云檢查的用戶來說,瀏覽器會(huì)上傳用戶訪問的每個(gè)網(wǎng)址與云端惡意網(wǎng)址數(shù)據(jù)庫比對(duì)����。‘金山、騰訊����、卡巴斯基的類似產(chǎn)品也有這種功能設(shè)計(jì)’。周鴻祎解釋稱。
對(duì)于上傳的這部分網(wǎng)址數(shù)據(jù)�����,360會(huì)采用MD5加密后上傳�����,以保護(hù)用戶數(shù)據(jù)����。有個(gè)別網(wǎng)站設(shè)計(jì)不規(guī)范,會(huì)把用戶名和密碼帶在URL中�,360對(duì)這種網(wǎng)址還會(huì)進(jìn)行保護(hù)處理后上傳。
而對(duì)于這種‘保護(hù)’的來歷����,也與每經(jīng)報(bào)道中的一段歷史有關(guān)。2010年底��,黑客攻破了360的某臺(tái)服務(wù)器�,有大量數(shù)據(jù)被公布在互聯(lián)網(wǎng)上。報(bào)道稱���,‘此次泄密事件涉及總條數(shù)141萬條�����,其中涉及用戶名信息的條目有247326個(gè)���,既包含用戶名又包含密碼條目有816個(gè)��。’
周鴻祎反駁稱����,這次被攻破的是360的惡意網(wǎng)址查詢數(shù)據(jù)庫���,外泄信息是主要是瀏覽器上傳的各種用戶訪問網(wǎng)址��,并無涉及用戶隱私的敏感信息��。但他承認(rèn)當(dāng)時(shí)在技術(shù)上存在兩個(gè)瑕疵:第一是當(dāng)時(shí)瀏覽器以明文上傳了用戶網(wǎng)址;第二是有小部分網(wǎng)站由于設(shè)計(jì)不周��,會(huì)將用戶名與密碼直接帶在網(wǎng)址之中�,這類網(wǎng)址被上傳后��,會(huì)造成‘上傳了用戶名與密碼’的誤讀���。因此在后續(xù)產(chǎn)品設(shè)計(jì)中����,針對(duì)這兩點(diǎn)進(jìn)行了功能完善與修補(bǔ)��。
而針對(duì)360安全衛(wèi)士上傳的數(shù)據(jù)問題��,周鴻祎解釋稱�����,產(chǎn)品上傳的信息只針對(duì)用戶電腦中的可執(zhí)行文件和模塊的相關(guān)信息���,因?yàn)槟抉R���、病毒均借由此類文件傳播;不包括文檔、照片等用戶敏感信息����。可執(zhí)行文件一般不會(huì)包括用戶敏感信息�。而為了避免木馬、病毒攔截這種查殺過程����,上傳的信息必須進(jìn)行加密��,這種必要的加密并不是媒體所說的‘黑匣子’�����。
每經(jīng)報(bào)道中披露的第二個(gè)問題���,是對(duì)360安全瀏覽器的‘綠色網(wǎng)站認(rèn)證’的質(zhì)疑。報(bào)道原文如下:
獨(dú)立調(diào)查員進(jìn)行了如下實(shí)驗(yàn)�����,以了解360綠色網(wǎng)站認(rèn)證機(jī)制:
在本機(jī)模擬��,將招行網(wǎng)銀域名劫持到IP為50.63.127.126(xliar.com)的網(wǎng)站�,并在目標(biāo)服務(wù)器上構(gòu)建相應(yīng)目錄體系和登錄頁文件,然后使用360安全瀏覽器訪問招行大眾版登錄頁�,從而進(jìn)入偽裝的招行網(wǎng)銀頁面。
360網(wǎng)購(gòu)保鏢自動(dòng)檢測(cè)招行運(yùn)行環(huán)境�,幾秒鐘后完成檢測(cè),報(bào)告“本次檢測(cè)未發(fā)現(xiàn)風(fēng)險(xiǎn)��,現(xiàn)在可以放心網(wǎng)購(gòu)了!”
此時(shí)瀏覽器地址欄銘牌顯示為“招商銀行”����,點(diǎn)擊后彈出“通過綠色網(wǎng)站認(rèn)證”,披著“招行網(wǎng)銀”外衣的劫持網(wǎng)址����,即被360認(rèn)證為招行官方網(wǎng)站。
而同樣的操作����,使用IE瀏覽器訪問時(shí),IE瀏覽器地址欄則會(huì)以非常顯眼的方式告知用戶“(網(wǎng)站數(shù)字)證書錯(cuò)誤”�����,點(diǎn)擊錯(cuò)誤信息可知����,該網(wǎng)站證書不屬于招商銀行網(wǎng)站。
……
而獨(dú)立調(diào)查員演示的證據(jù)顯示�����,360瀏覽器直接屏蔽認(rèn)證機(jī)構(gòu)VeriSign基于加密體系的可信認(rèn)證��,將其替換成了360綠色網(wǎng)站認(rèn)證�����。
上述報(bào)道可以簡(jiǎn)化為:360是否屏蔽了國(guó)際公認(rèn)認(rèn)證機(jī)構(gòu)的網(wǎng)站證書,而將其替換為自己認(rèn)證?綠色網(wǎng)站認(rèn)證是否存在安全問題?
周鴻祎完全否認(rèn)了這一報(bào)道���。他解釋了360綠色網(wǎng)站認(rèn)證的機(jī)制:該認(rèn)證基于網(wǎng)站本身所具有的ICP證書等國(guó)家權(quán)威機(jī)構(gòu)辦法的許可證進(jìn)行審查���,與根據(jù)時(shí)間、服務(wù)器數(shù)據(jù)進(jìn)行真實(shí)性認(rèn)證的VeriSign完全平行��,不會(huì)相互取代�。這一綠色認(rèn)證的目的是對(duì)電商網(wǎng)站進(jìn)行可信度保障,其運(yùn)行范圍也與VerySign不同��。
由于每經(jīng)報(bào)道中未披露采用了何種方式進(jìn)行域名劫持�,360瀏覽器高級(jí)總監(jiān)現(xiàn)場(chǎng)向我們模擬了用修改hosts文件方式劫持域名后360瀏覽器的反應(yīng):將招商銀行域名劫持后,訪問這一域名時(shí)360瀏覽器會(huì)直接顯示出網(wǎng)址被hosts重定向(見圖)���。
網(wǎng)址被hosts重定向
每經(jīng)報(bào)道中的第三個(gè)質(zhì)疑��,是360的V3升級(jí)計(jì)劃�����。其報(bào)道原文如下:
據(jù)《每日經(jīng)濟(jì)新聞》記者調(diào)查����,一鍵優(yōu)化,是通過360安全衛(wèi)士���,即通過客戶端執(zhí)行;“靜默安裝”,則是直接通過云服務(wù)器發(fā)布指令執(zhí)行的�。而“V3升級(jí)”即是360產(chǎn)品線最重要的捆綁安裝渠道。
V3機(jī)制����,最主要的推廣“母體”是360安全衛(wèi)士與360瀏覽器,而這兩者間�,又有分工與交叉,相互配合���,其中的關(guān)系非常復(fù)雜�����。為遮人耳目��,V3通道并不是常規(guī)的路徑��,而是在重要的“必須產(chǎn)品”推廣中才會(huì)實(shí)施�。通過這一路徑,可以一下子將產(chǎn)品全面鋪開����,實(shí)現(xiàn)最大的安裝量。而當(dāng)360的主體產(chǎn)品擁有的用戶基數(shù)越來越高的時(shí)候�,這樣的推廣作用也變得更有成效。
V3由360高層決策層下達(dá)指令�,360安全數(shù)據(jù)中心啟動(dòng),并通過后門機(jī)制����,將指令性信息傳達(dá)給用戶電腦中安裝的360安全衛(wèi)士,主要指令為產(chǎn)品推廣���、刪除競(jìng)爭(zhēng)對(duì)手產(chǎn)品����、新配置數(shù)據(jù)等;360安全衛(wèi)士在用戶Windows系統(tǒng)中���,直接執(zhí)行安裝��、更改���、卸載;然后,通過后門機(jī)制,將信息反饋給360云安全數(shù)據(jù)中心����,該中心再將信息收集、匯總統(tǒng)計(jì)后���,上傳給決策層��。
周鴻祎和其他現(xiàn)場(chǎng)的360技術(shù)高管披露了V3升級(jí)計(jì)劃的細(xì)節(jié)�����。周鴻祎稱,大量互聯(lián)網(wǎng)軟件公司均有連線升級(jí)軟件的功能����,V3也不過就是一個(gè)連線升級(jí)的操作模塊,之所以叫V3����,是因?yàn)檫@是該模塊的第三個(gè)版本。這一模塊實(shí)現(xiàn)的是軟件個(gè)體的在線升級(jí)���,而不會(huì)執(zhí)行額外安裝軟件���、卸載其他軟件的功能���。
對(duì)于大量因安裝了360安全衛(wèi)士而安裝了360瀏覽器的用戶,周鴻祎解釋���,這不是V3自動(dòng)為用戶裝上了瀏覽器���,而是安全衛(wèi)士在進(jìn)行電腦體檢后提示用戶‘是否需要安裝安全瀏覽器’,這個(gè)提示有些用戶可能并沒有注意到�����,直接點(diǎn)了同意����,在安裝后使他們產(chǎn)生‘不知不覺被裝了新軟件’的錯(cuò)覺。周鴻祎反省說���,以后對(duì)這類交叉推廣��,可以考慮是否要把提示做得再明顯��、再大一些��。
我對(duì)這個(gè)問題進(jìn)行了追問��,請(qǐng)周鴻祎明確回答��,360軟件是否曾經(jīng)靜默安裝過關(guān)聯(lián)軟件���,是否曾經(jīng)未經(jīng)許可刪除過用戶軟件���,他對(duì)這兩個(gè)問題都明確回答‘沒有’。
整個(gè)發(fā)布會(huì)除了上述內(nèi)容外��,還有周鴻祎對(duì)搜索市場(chǎng)的看法���、股市的觀點(diǎn)、蘋果下架360應(yīng)用的回應(yīng)等等�,但本文僅反映他對(duì)每經(jīng)報(bào)道的回應(yīng),因此其他內(nèi)容暫不記錄����。而對(duì)于他這些回應(yīng)是否站得住腳,由于專業(yè)性過強(qiáng)�����,我也不能全部給出自己的判斷,時(shí)間關(guān)系��,先保證能不走樣地記錄���、再現(xiàn)出來����,供有關(guān)人士參考即可�。有關(guān)360的產(chǎn)品安全性與一些操作的爭(zhēng)議性,我會(huì)在以后有機(jī)會(huì)時(shí)進(jìn)行專文探討��。
