奇虎360暗藏后門(mén)盜取用戶隱私 黑匣子之謎全面解讀

       360綠色網(wǎng)站的安全謊言：“偷梁換柱”浸潤(rùn)電商網(wǎng)銀安全體系/

　　2月6日，360官網(wǎng)上一條 “網(wǎng)購(gòu)首選，3億用戶的共同選擇”的廣告悄然上線。打開(kāi)這條廣告鏈接，以“網(wǎng)購(gòu)安全”為主題的新款“360安全瀏覽器”赫然在目。

　　據(jù)《每日經(jīng)濟(jì)新聞》記者獲得的360內(nèi)部信息，360將借今年的“3·15”活動(dòng)，大力推動(dòng)與國(guó)內(nèi)電商企業(yè)的合作，以將360安全瀏覽器植入電商領(lǐng)域。這則推廣廣告，正是這一步驟的前奏曲。

　　據(jù)記者調(diào)查，360兩年前開(kāi)始布局電子商務(wù)安全領(lǐng)域，其最先打出的 “安全產(chǎn)品”是 “網(wǎng)銀無(wú)憂”、“地址欄銘牌”，即360瀏覽器主推的“綠色網(wǎng)站認(rèn)證”。

　　360向人們傳遞的信息是，“360綠色網(wǎng)站認(rèn)證”可以確保用戶使用網(wǎng)銀以及電子商務(wù)交易安全。

　　眾所周知，電子商務(wù)的交易安全，尤其是網(wǎng)銀，一直是網(wǎng)民、乃至整個(gè)社會(huì)焦點(diǎn)關(guān)注的問(wèn)題之一。歐美、日本等國(guó)家的網(wǎng)銀安全體系非常復(fù)雜與發(fā)達(dá)，而國(guó)內(nèi)的網(wǎng)銀體系，也是在小心設(shè)想、小心求證的前提下，一步步地展開(kāi)。

　　那么，360是否真的具備這個(gè)能力——取代網(wǎng)銀服務(wù)提供者身份驗(yàn)證體系，由自身來(lái)充當(dāng)網(wǎng)銀“保鏢”呢？

　　獨(dú)立調(diào)查員懷疑360公司是否具備這個(gè)能力。于是，他進(jìn)行了如下實(shí)驗(yàn)，以了解360綠色網(wǎng)站認(rèn)證機(jī)制：

　　在本機(jī)模擬，將招行網(wǎng)銀域名劫持到IP為50.63.127.126(xliar.com)的網(wǎng)站，并在目標(biāo)服務(wù)器上構(gòu)建相應(yīng)目錄體系和登錄頁(yè)文件，然后使用360安全瀏覽器訪問(wèn)招行大眾版登錄頁(yè)，從而進(jìn)入偽裝的招行網(wǎng)銀頁(yè)面。

　　360網(wǎng)購(gòu)保鏢自動(dòng)檢測(cè)招行運(yùn)行環(huán)境，幾秒鐘后完成檢測(cè)，報(bào)告“本次檢測(cè)未發(fā)現(xiàn)風(fēng)險(xiǎn)，現(xiàn)在可以放心網(wǎng)購(gòu)了！”

　　此時(shí)瀏覽器地址欄銘牌顯示為“招商銀行”，點(diǎn)擊后彈出“通過(guò)綠色網(wǎng)站認(rèn)證”，披著“招行網(wǎng)銀”外衣的劫持網(wǎng)址，即被360認(rèn)證為招行官方網(wǎng)站。

　　而同樣的操作，使用IE瀏覽器訪問(wèn)時(shí)，IE瀏覽器地址欄則會(huì)以非常顯眼的方式告知用戶“（網(wǎng)站數(shù)字）證書(shū)錯(cuò)誤”，點(diǎn)擊錯(cuò)誤信息可知，該網(wǎng)站證書(shū)不屬于招商銀行網(wǎng)站。

　　事實(shí)上，用國(guó)際主流的瀏覽器均會(huì)彈出類(lèi)似的錯(cuò)誤提醒警示，用戶收到信息后自然會(huì)停止交易、避免損失。

　　這意味著，如果一家詐騙網(wǎng)站通過(guò)域名劫持招商銀行網(wǎng)站，所謂的“360綠色網(wǎng)站認(rèn)證”并不能有效執(zhí)行網(wǎng)銀保鏢的辨識(shí)功能，進(jìn)行安全認(rèn)證。

　　360安全瀏覽器的安全檢查能力為什么會(huì)如此之低呢？

　　據(jù) 《每日經(jīng)濟(jì)新聞》記者了解，目前國(guó)際主流的認(rèn)證機(jī)構(gòu)為VeriSign，包括中國(guó)工商銀行、中國(guó)建設(shè)銀行、中國(guó)銀行、中國(guó)農(nóng)業(yè)銀行均采用該機(jī)構(gòu)認(rèn)證。招商銀行網(wǎng)頁(yè)所顯示的，也正是該機(jī)構(gòu)的認(rèn)證，這也作為網(wǎng)上銀行安全的基本保證而得到公認(rèn)。

　　而獨(dú)立調(diào)查員演示的證據(jù)顯示，360瀏覽器直接屏蔽認(rèn)證機(jī)構(gòu)VeriSign基于加密體系的可信認(rèn)證，將其替換成了360綠色網(wǎng)站認(rèn)證。

　　獨(dú)立調(diào)查員提醒網(wǎng)購(gòu)者，應(yīng)信任銀行網(wǎng)站自身的安全證書(shū)，并在整個(gè)交易過(guò)程中關(guān)注地址欄域名和安全證書(shū)中的域名是否一致，以及其根域名是否與官方域名一致，切勿輕易信任和依賴360的“綠色網(wǎng)站認(rèn)證”。

　　獨(dú)立調(diào)查員認(rèn)為，這又是另一起360“破壞性創(chuàng)新”的典型案例：“一點(diǎn)技術(shù)含量也沒(méi)有的網(wǎng)站身份認(rèn)證，竟然可以公然取代國(guó)際上通行的網(wǎng)上銀行安全認(rèn)證體系。這就是360的非創(chuàng)新型破壞。”

　　然而，對(duì)于類(lèi)似公然挑釁國(guó)際準(zhǔn)則的行為，為什么監(jiān)管部門(mén)可以坐視不管呢？

　　可以預(yù)想的是，一旦360大規(guī)模啟動(dòng)“各大電商推薦安全購(gòu)物使用360瀏覽器”活動(dòng)，人們的網(wǎng)上購(gòu)物均要依賴于 “360綠色網(wǎng)站認(rèn)證”，360收獲的將是又一次360式“癌性擴(kuò)張”，而中國(guó)的網(wǎng)銀體系又將會(huì)面臨怎樣的可怕變局？

　　移動(dòng)圈地：“非創(chuàng)新型”破壞或止步于蘋(píng)果？/

　　在360的2012年年會(huì)上，360董事長(zhǎng)周鴻祎對(duì)員工指出：“我認(rèn)為未來(lái)兩年將決定整個(gè)無(wú)線互聯(lián)網(wǎng)的市場(chǎng)格局……在過(guò)去的一年，360手機(jī)衛(wèi)士用戶量突破2億，360手機(jī)助手的用戶量也突破了1億，成為360在無(wú)線互聯(lián)網(wǎng)上的兩個(gè)支柱。但兩根柱子支撐不了一個(gè)房子，我希望各個(gè)團(tuán)隊(duì)在2013年會(huì)有新的產(chǎn)品能夠脫穎而出，包括很多PC的產(chǎn)品也可以尋找在無(wú)線上的發(fā)展機(jī)會(huì)。很簡(jiǎn)單，未來(lái)不會(huì)再有無(wú)線互聯(lián)網(wǎng)公司了，因?yàn)槊總€(gè)公司都必須是基于無(wú)線互聯(lián)網(wǎng)的；也不會(huì)有PC產(chǎn)品部、無(wú)線產(chǎn)品部的區(qū)分，因?yàn)橐院笏挟a(chǎn)品都會(huì)在PC和移動(dòng)終端上打通，而沒(méi)有無(wú)線互聯(lián)網(wǎng)策略和產(chǎn)品的公司將會(huì)被淘汰。”

　　這段講話基本上代表了360近期在移動(dòng)端發(fā)展與布局的方向。