工信部調(diào)查360瀏覽器 金山發(fā)布360竊取隱私證據(jù)

時(shí)間:2012-11-05 09:22   來源:人民網(wǎng)

  由于安全軟件存在于系統(tǒng)的最底層,因此,從技術(shù)上說,它想要收集什么信息就能收集到什么信息,關(guān)鍵取決于企業(yè)對(duì)于用戶隱私的態(tài)度。這些公司在獲取大量的信息之后,可以做很多數(shù)據(jù)分析、改進(jìn)產(chǎn)品、發(fā)展新業(yè)務(wù)等,如果內(nèi)控不嚴(yán),就會(huì)造成信息泄露

  由方舟子質(zhì)疑奇虎360竊取用戶隱私而引發(fā)的“方周大戰(zhàn)”在持續(xù)。近日,工信部明確表示,對(duì)360通過其瀏覽器竊取用戶的信息和隱私問題,“如果查實(shí)確有違法違規(guī)行為,我部將依法予以嚴(yán)肅處理!

  對(duì)于工信部的調(diào)查,奇虎360很自信,它在給記者發(fā)來的聲明中表示歡迎。不過,來自同行們的舉證對(duì)其似乎很不利。工信部表態(tài)后,金山、網(wǎng)秦、卡巴斯基等其他安全廠商紛紛表態(tài),堅(jiān)決支持工信部對(duì)360的調(diào)查,以徹底肅清安全軟件行業(yè)中某些企業(yè)一直以來隱藏的隱私安全問題。其中,金山還出面提供360侵犯用戶隱私的切實(shí)證據(jù)。在第三方分析機(jī)構(gòu)易觀國際舉辦的“安全沙龍”上,金山毒霸安全工程師、反病毒專家李鐵軍發(fā)布了360超范圍收集政府、機(jī)構(gòu)、個(gè)人隱私信息的確鑿證據(jù),并全程展示了360安全衛(wèi)士操縱用戶電腦,竊取用戶隱私的全程視頻。

  昨日,互聯(lián)網(wǎng)威懾防御(IDF)實(shí)驗(yàn)室創(chuàng)始人、安全專家萬濤在接受《國際金融報(bào)》記者采訪時(shí)表示,目前,作為獨(dú)立第三方,IDF實(shí)驗(yàn)室正在對(duì)金山提供的證據(jù)以及結(jié)合360給出的回應(yīng)進(jìn)行驗(yàn)證核實(shí),預(yù)計(jì)報(bào)告會(huì)在近幾日得出。

  萬濤認(rèn)為,此事的關(guān)鍵是由其引發(fā)的公眾對(duì)于安全軟件的信任危機(jī)。不過,從另一個(gè)方面講,工信部的出面調(diào)查某款軟件侵犯用戶隱私在國內(nèi)尚屬首次,如能借此機(jī)會(huì)明確國內(nèi)安全行業(yè)底線與規(guī)則,對(duì)促進(jìn)行業(yè)自律和網(wǎng)民隱私保護(hù)都是利好。

  金山舉證360

  據(jù)李鐵軍介紹,2010年底,有網(wǎng)友曾發(fā)現(xiàn),在Google上可以搜索到大量中國網(wǎng)民使用互聯(lián)網(wǎng)的隱私記錄,信息包括個(gè)人瀏覽記錄、賬號(hào)密碼、聯(lián)系方式以及企業(yè)內(nèi)網(wǎng)信息,據(jù)查證,這些數(shù)據(jù)來源恰是360公司。

  記者看到,這些信息十分詳實(shí)。比如,在淘寶購物的羅小姐的信息是:她于2010年12月16日19∶01下單購買了一件韓版時(shí)尚外套,價(jià)格69元,聯(lián)系地址為上海市金山區(qū)某地,這一信息記錄中甚至包括羅小姐的電話、網(wǎng)絡(luò)訂單號(hào)等詳細(xì)信息。此外,一些用戶的QQ賬號(hào)、密碼、政府機(jī)關(guān)、企業(yè)內(nèi)網(wǎng)信息及經(jīng)營數(shù)據(jù)也被360收集和泄密。

  據(jù)金山公司的統(tǒng)計(jì)發(fā)現(xiàn),此次泄露數(shù)據(jù)總條數(shù)141萬條,其中涉及用戶名信息的條目有247326個(gè),包含用戶名又包含密碼的條目816個(gè),郵件記錄數(shù)21444個(gè),QQ空間記錄數(shù)229080個(gè),淘寶信息90747個(gè),內(nèi)網(wǎng)記錄數(shù)2474個(gè),文檔記錄數(shù)7576個(gè)。

  “相對(duì)于360收集的海量數(shù)據(jù)來說,目前Google抓取揭露的信息僅是冰山一角。”李鐵軍在會(huì)上表示。

  值得注意的是,此前網(wǎng)名為“獨(dú)立調(diào)查員”的網(wǎng)友曾舉證了360定期收集用戶隱私數(shù)據(jù)并上傳到360服務(wù)器的行為。而在此次會(huì)議上,李鐵軍首次通過視頻,復(fù)現(xiàn)了360安全衛(wèi)士(7.3版),偷傳用戶使用電腦等私密操作行為到自有服務(wù)器,竊取用戶隱私的全過程。

  現(xiàn)場顯示,電腦在已經(jīng)關(guān)閉360“云安全計(jì)劃”(云計(jì)劃具有信息上傳功能)并斷網(wǎng)的條件下,360安全衛(wèi)士仍會(huì)自動(dòng)記錄用戶對(duì)電腦的操作信息。例如,測試人員在電腦中打開記事本、玩紙牌等操作行為,均被360安全衛(wèi)士記錄下來,而在該軟件目錄中,還可以找到記錄了程序名稱、運(yùn)行時(shí)間及程序詳細(xì)信息的文檔。聯(lián)網(wǎng)后,360安全衛(wèi)士迅速將該文檔信息上傳到360服務(wù)器。隨后,360立即刪除在信息收集過程中產(chǎn)生的文件夾,使用戶完全不會(huì)發(fā)覺360的這一行為。

  技術(shù)成犯罪保護(hù)傘

  “如果金山曝出的問題屬實(shí),那么360此舉已經(jīng)造成比較嚴(yán)重的超范圍采集用戶隱私。”對(duì)于金山的舉證,萬濤表示,作為獨(dú)立第三方,IDF實(shí)驗(yàn)室正在對(duì)金山提供的證據(jù)進(jìn)行檢測,同時(shí)也會(huì)結(jié)合360方面的說法。

  萬濤表示,這一報(bào)告將會(huì)在近期出結(jié)果。不過,他透露,從目前來看,金山舉證的問題有些確實(shí)存在。

  一位不愿具名的安全領(lǐng)域人士對(duì)《國際金融報(bào)》記者表示,由于安全軟件存在于系統(tǒng)的最底層,因此,從技術(shù)上說,它想要收集什么信息就能收集到什么信息,關(guān)鍵取決于企業(yè)對(duì)于用戶隱私的態(tài)度!斑@些公司在獲取大量的信息之后,可以做很多數(shù)據(jù)分析、改進(jìn)產(chǎn)品、發(fā)展新業(yè)務(wù)等,如果內(nèi)控不嚴(yán),就會(huì)造成信息泄露!

  事實(shí)上,近年來,網(wǎng)絡(luò)信息安全事件頻發(fā),從2010年11月3日爆發(fā)的“3Q大戰(zhàn)”到2011年12月下旬的程序員網(wǎng)站密碼泄露事件,再到近日爆發(fā)的“方舟子和360大戰(zhàn)”,用戶隱私屢屢在網(wǎng)絡(luò)上“裸奔”。

  對(duì)此,上述不愿具名的安全領(lǐng)域人士表示,這種情況由多方面因素造成的。一方面,國內(nèi)在用戶隱私方面的監(jiān)管不健全,基本處于草莽時(shí)代;另一方面,企業(yè)竊取用戶隱私只是一瞬間的事,之后往往會(huì)刪除,這就導(dǎo)致事后取證困難!斑@些都會(huì)助長企業(yè)的竊取之心!

  中國互聯(lián)網(wǎng)協(xié)會(huì)政策與資源委員會(huì)專家成員于國富在接受媒體采訪時(shí)也表示,隨著技術(shù)的日新月異,政府部門對(duì)互聯(lián)網(wǎng)公司的監(jiān)管也越來越難。尤其是一些網(wǎng)絡(luò)公司實(shí)際都是在境外注冊(cè),而我國政府部門所管的只是這些互聯(lián)網(wǎng)公司在中國國內(nèi)的一個(gè)牌子而已,管理權(quán)限有限,力不從心。

  透明評(píng)測是上策

  盡管工信部表示要調(diào)查360公司,但于國富對(duì)此并不樂觀。在他看來,檢測的樣本具有太強(qiáng)的主觀性和隨機(jī)性,所以,要求某一個(gè)鑒定機(jī)構(gòu)給某一款軟件發(fā)放“清白”的許可證,本身就是不靠譜的。

  萬濤認(rèn)為,要減少這種安全軟件企業(yè)的安全問題,開放源代碼,增加透明度可能是改變當(dāng)前現(xiàn)狀的可行性辦法。“廣遭質(zhì)疑的360云查殺癥結(jié)就在于目前的‘不透明’,運(yùn)營機(jī)理和如何上傳數(shù)據(jù)以及相關(guān)標(biāo)準(zhǔn)、流程都不為公眾知曉,這種不透明沒有規(guī)范的行為的確很難讓用戶不擔(dān)心,一旦自身暴露安全缺陷也容易為黑客大開方便之門。”

  萬濤建議:“安全廠商可以把特別核心的技術(shù)內(nèi)容予以保護(hù),比如引擎和病毒庫,但涉及用戶桌面端的系統(tǒng)控制權(quán)限機(jī)制和檢測標(biāo)準(zhǔn)等這部分可以開源,組織安全愛好者一起來查找BUG,檢測產(chǎn)品自身安全可靠性。”

  值得注意的是,面對(duì)質(zhì)疑,360此前在聲明中也表示,已經(jīng)將產(chǎn)品代碼提交有關(guān)部門檢測。不過,360此舉在萬濤看來,有忽悠的成分。360軟件提交的代表只是客戶端代碼,而其使用的是云端控制技術(shù),單單檢測桌面軟件很難檢測到問題,對(duì)整個(gè)過程與環(huán)境進(jìn)行檢測評(píng)估才能更好地說明問題。“把問題集中呈現(xiàn)在陽光下解決,推動(dòng)行業(yè)自律,這是國內(nèi)安全產(chǎn)業(yè)健康發(fā)展的正途!

編輯:雍紫薇

相關(guān)新聞

圖片

遵义县| 修武县| 南靖县| 葵青区| 南溪县| 庆城县| 建德市| 安平县| 广元市| 西林县| 东莞市| 乌鲁木齐县| 建昌县| 万年县| 碌曲县| 琼海市| 波密县| 城市| 濉溪县| 道真| 台安县| 海盐县| 金溪县| 台州市| 襄垣县| 清河县| 谢通门县| 岳阳县| 舟山市| 涪陵区| 敖汉旗| 监利县| 金川县| 乌苏市| 会泽县| 长宁县| 栾城县| 玛纳斯县| 惠州市| 合水县|