奇虎360暗藏后門盜取用戶隱私 黑匣子之謎全面解讀

　　在移動(dòng)端，360是否會(huì)重復(fù)使用“癌性擴(kuò)張”的方式來(lái)圈地呢？

　　《每日經(jīng)濟(jì)新聞》記者在調(diào)查中發(fā)現(xiàn)，無(wú)論是微博還是公開的論壇，皆有不少用戶曝光了360的一些“作惡”行為，大多包括以下內(nèi)容：在智能手機(jī)通過(guò)USB接入電腦充電或同步數(shù)據(jù)時(shí)，360彈出手機(jī)助手的提示，不經(jīng)意中安裝360的其他產(chǎn)品，甚至裝上360的產(chǎn)品之后，其他非360的應(yīng)用會(huì)莫名其妙地“被卸載”。

　　這也意味著，在移動(dòng)端的圈地運(yùn)動(dòng)中，360依然在復(fù)制其PC領(lǐng)域的“癌式擴(kuò)張”做法：除了做安全產(chǎn)品外，自身同時(shí)開發(fā)了全系列的手機(jī)軟件，然后重新演繹一遍其在PC端的玩法。

　　據(jù)《每日經(jīng)濟(jì)新聞》記者掌握的一份來(lái)自某互聯(lián)網(wǎng)工程師的爆料，包括360手機(jī)衛(wèi)士、360手機(jī)通訊錄、360手機(jī)瀏覽器等系列產(chǎn)品存在明文上傳用戶隱私數(shù)據(jù)。上述爆料人提供的證據(jù)指出，在機(jī)場(chǎng)、咖啡廳，手機(jī)用戶使用WiFi上網(wǎng)時(shí)，只要登錄360手機(jī)衛(wèi)士及360手機(jī)通訊錄，或者進(jìn)行云備份或云恢復(fù)，用戶名（手機(jī)號(hào)）、手機(jī)IMEI碼和密碼等高度敏感信息就會(huì)通過(guò)請(qǐng)求網(wǎng)址明文傳輸，有了這些身份鑒別信息，可以使用任何瀏覽器從360通訊錄服務(wù)器tongxunlu.#的非安全通道直接下載用戶云備份的通訊錄等隱私。

　　這也意味著第三方可以輕松竊取360用戶登錄各個(gè)網(wǎng)站的密碼MD5信息和手機(jī)號(hào)，進(jìn)而可以獲取用戶包括短信、彩信、通訊錄、通訊記錄等所有相關(guān)隱私數(shù)據(jù)，而且還可以篡改并進(jìn)行釣魚。

　　對(duì)此，獨(dú)立調(diào)查員進(jìn)行了相應(yīng)復(fù)檢，發(fā)現(xiàn)含高度敏感信息的請(qǐng)求網(wǎng)址的參數(shù)部分，僅以BASE64編碼（可簡(jiǎn)單解碼，與明文無(wú)異），而用戶密碼雖然經(jīng)過(guò)MD5加密、但是可直接用于登錄，且對(duì)客戶端合法性沒(méi)有任何校驗(yàn)。獨(dú)立調(diào)查員向《每日經(jīng)濟(jì)新聞》記者說(shuō)，請(qǐng)求網(wǎng)址極易被非法攔截，在網(wǎng)址中明文夾帶傳輸高度敏感信息，以及使用非安全通道下載用戶隱私數(shù)據(jù)，等于把手機(jī)用戶隱私暴露在陽(yáng)光下。

　　這一現(xiàn)狀，與當(dāng)年360安全衛(wèi)士起家時(shí)如出一轍。

　　據(jù)《每日經(jīng)濟(jì)新聞》記者所掌握的證據(jù)，國(guó)內(nèi)有多家公司與個(gè)人，對(duì)360這方面的“不規(guī)距”行為進(jìn)行了技術(shù)論證與法律取證。但這一切，似乎并不能動(dòng)搖360在此領(lǐng)域的擴(kuò)張。

　　不過(guò)目前，似乎有了一些改變。

　　1月25日，iOS平臺(tái)上，360旗下360手機(jī)衛(wèi)士、360瀏覽器等一些應(yīng)用突然被蘋果應(yīng)用商店下架，一時(shí)在國(guó)內(nèi)引起巨大反響。

　　360產(chǎn)品被蘋果下架，這已不是第一次。2012年2月6日，360旗下包括360手機(jī)衛(wèi)士、360口信、360瀏覽器HD、360電池醫(yī)生、360安全備份、360團(tuán)購(gòu)HD等系列產(chǎn)品均被蘋果應(yīng)用商店下架。

　　隨后，有專業(yè)分析師就曾公開表示，通過(guò)研究360相關(guān)應(yīng)用的代碼發(fā)現(xiàn)，至少360手機(jī)衛(wèi)士和電池醫(yī)生兩款應(yīng)用存在各種侵犯用戶隱私的行為，主要包括：非法讀取用戶iPhone上的應(yīng)用信息、非法閱覽用戶的照片和音樂(lè)文件夾，而iOS版360手機(jī)衛(wèi)士部分代碼還顯示，360正在獲取系統(tǒng)進(jìn)程資源信息，而上述行為均為蘋果應(yīng)用商店嚴(yán)禁的違規(guī)行為。

　　而這一次下架的原因又是什么呢？

　　據(jù)360的官方說(shuō)法，此次下架，與360手機(jī)衛(wèi)士企業(yè)版測(cè)試時(shí)違反了蘋果相應(yīng)規(guī)則有關(guān)——360嘗試為中國(guó)境內(nèi)企業(yè)用戶提供 “騷擾電話攔截”和“來(lái)電歸屬地顯示”等功能。

　　外界對(duì)此也猜測(cè)不一：第一，猜測(cè)認(rèn)為，360的多個(gè)應(yīng)用涉嫌調(diào)用蘋果私有API，以獲取更高權(quán)限，而蘋果明令禁止這一點(diǎn)；第二，涉嫌刷榜，影響在蘋果應(yīng)用商店的排名；第三，360多次使用企業(yè)證書對(duì)外發(fā)布公測(cè)版本；第四，多款應(yīng)用涉嫌自建下載渠道，為用戶提供越獄版本。而360的這一切動(dòng)作，都是對(duì)現(xiàn)行互聯(lián)網(wǎng)游戲規(guī)則的明顯侵犯。

　　IDF互聯(lián)網(wǎng)情報(bào)威懾防御實(shí)驗(yàn)室創(chuàng)始人萬(wàn)濤對(duì)此認(rèn)為，最大的可能是，360在將其代替用戶直接進(jìn)行操作的“非創(chuàng)新型破壞”，從底層數(shù)據(jù)向上延展，最終到達(dá)應(yīng)用層時(shí)遭到蘋果的阻擊，比如蘋果嚴(yán)厲禁止調(diào)用私有API，但360手機(jī)衛(wèi)士企業(yè)版測(cè)試卻對(duì)外開放了私有API的下載鏈接。又如，蘋果對(duì)用戶隱私信息的保護(hù)非常嚴(yán)厲，而360在這方面觸及規(guī)則，這非常容易觸怒蘋果；

　　《每日經(jīng)濟(jì)新聞》記者調(diào)查發(fā)現(xiàn)，去年iOS版360手機(jī)助手上線時(shí)，其產(chǎn)品分為手機(jī)客戶端版和PC客戶端版，其PC客戶端版可以直接繞過(guò)蘋果應(yīng)用商店為用戶提供下載鏈接，這也意味著360利用用戶數(shù)量進(jìn)行平臺(tái)化，蠶食蘋果市場(chǎng)收益。

　　業(yè)內(nèi)專業(yè)人士管鵬則透露了另一個(gè)細(xì)節(jié)，前段時(shí)間傳“快用”與360合作，將快用的技術(shù)接入360手機(jī)瀏覽器中。“快用”有一項(xiàng)核心技術(shù)“ipa2exe”，這一技術(shù)允許iOS開發(fā)者把自己的應(yīng)用與快用的仿iTunes程序打包在一起，使用戶可以像下載普通的PC軟件一樣下載iOS應(yīng)用，并在PC上一鍵安裝進(jìn)自己的蘋果設(shè)備——這已經(jīng)和越獄市場(chǎng)沒(méi)有區(qū)別了，“或許，這也是360下架的重要原因”。