奇虎360暗藏后門盜取用戶隱私 黑匣子之謎全面解讀

　　《每日經(jīng)濟(jì)新聞》記者注意到，在這封舉報(bào)信中，獨(dú)立調(diào)查員直接斥責(zé)道：“奇虎360公司的 ‘360安全瀏覽器’暗藏‘后門’，是用戶系統(tǒng)安全和信息安全的嚴(yán)重潛在威脅”。

　　他舉證說(shuō)，360安全瀏覽器實(shí)為C/S架構(gòu)木馬系統(tǒng)的客戶端，服務(wù)器群是se.#（云架構(gòu)，IP地址不定）。瀏覽器每隔5分鐘即向服務(wù)器請(qǐng)求新的“指示”。新的指示偽裝成Ini（純文本文件類型）發(fā)出，實(shí)際上是DII文件（Windows可執(zhí)行程序庫(kù)或資料庫(kù)）等。

　　此事一石激起千層浪。不過(guò)，具有挑戰(zhàn)的是，獨(dú)立調(diào)查員的分析結(jié)果僅僅是網(wǎng)絡(luò)分析，是“后門”機(jī)制的初步證據(jù)和技術(shù)推斷，而非直接的鐵證。正是因?yàn)檫@樣，360開始在網(wǎng)絡(luò)上對(duì)其進(jìn)行質(zhì)疑、攻擊，甚至嘲諷。

　　“他們以為我只會(huì)網(wǎng)絡(luò)抓包呢！”獨(dú)立調(diào)查員表示。于是，為了做實(shí)360的后門機(jī)制，他決定反向分析瀏覽器本身的程序庫(kù)，并詳細(xì)分析出“后門”機(jī)制的內(nèi)部執(zhí)行流程。

　　然而，這并非一件容易的事情。“因?yàn)闆]有軟件源程序、更沒有設(shè)計(jì)文檔，所以分析難度相當(dāng)大。給你個(gè)軟件，只能進(jìn)行其公開可見的操作，而內(nèi)部運(yùn)作卻完全是個(gè)黑洞。”獨(dú)立調(diào)查員表示。

　　源程序（源代碼）自然沒有。而要通過(guò)反向工程來(lái)破解，難度相對(duì)較高，也非常浪費(fèi)時(shí)間。何況360瀏覽器軟件規(guī)模不小，而且還有很多內(nèi)置的擴(kuò)展程序。

　　“我首先用排除法把擴(kuò)展組件挨個(gè)干掉，我刪掉一個(gè)擴(kuò)展組件，如果后門機(jī)制還在，說(shuō)明與這個(gè)擴(kuò)展組件無(wú)關(guān)。”獨(dú)立調(diào)查員最開始的直覺是后門應(yīng)該在擴(kuò)展程序里面，因?yàn)橹鞒绦蛞蜋z，但是當(dāng)獨(dú)立調(diào)查員把可見的擴(kuò)展程序全部刪掉后，后門還在，于是他開始刪（對(duì)普通用戶）不可見的擴(kuò)展組件。

　　“通過(guò)排除法，最后確認(rèn)是擴(kuò)展組件SmartWiz在搞鬼。刪掉它以后，瀏覽器就安靜了，那個(gè)5分鐘一輪的上傳下達(dá)活動(dòng)消失了。”

　　不過(guò)，還沒有結(jié)束。為了進(jìn)一步查明360后門真相，獨(dú)立調(diào)查員還需要反向編譯出匯編代碼并跟蹤測(cè)試。

　　通過(guò)一系列技術(shù)過(guò)程，獨(dú)立調(diào)查員掌握了360瀏覽器在SmartWiz整個(gè)組件里與360服務(wù)器間建立通信、下載、臨時(shí)存儲(chǔ)、加載執(zhí)行、刪除（銷毀證據(jù)）的流程，同時(shí)也知道了其時(shí)鐘控制調(diào)度機(jī)制（5分鐘間隔定時(shí)器）。

　　360后門的安全之殤/

　　360安全瀏覽器設(shè)計(jì)出來(lái)的后門，恰恰給用戶帶來(lái)了極大的不安全。

　　為了讓用戶知道這個(gè)后門的惡劣程度，一直涉足互聯(lián)網(wǎng)安全工作的騰訊集團(tuán)副總裁曾宇，對(duì)沒有后門的瀏覽器的重要性做了解答。

　　一般個(gè)人用戶的電腦中，90%以上為windows系統(tǒng)，這套系統(tǒng)與互聯(lián)網(wǎng)之間的聯(lián)系，是需要瀏覽器來(lái)實(shí)現(xiàn)的，同時(shí)，因?yàn)闉g覽器的閉環(huán)作用

　　（可以理解為沒有縫的雞蛋殼，除非用戶特別授權(quán)），其也是windows系統(tǒng)與互聯(lián)網(wǎng)之間的天然屏障，任何來(lái)自于其他云端的指令等，都不會(huì)穿透這層保護(hù)而到達(dá)windows系統(tǒng)。這樣，用戶電腦中的windows系統(tǒng)得到最好的保護(hù)，所有執(zhí)行的指令，都是來(lái)自于用戶自己。

　　而IDF互聯(lián)網(wǎng)情報(bào)威懾防御實(shí)驗(yàn)室創(chuàng)始人萬(wàn)濤則對(duì)瀏覽器后門做了解讀。他說(shuō)，被稱作360“安全”的瀏覽器，卻有一個(gè)特殊的資源文件，這個(gè)資源文件硬生生地將這個(gè)蛋殼打開了一條縫，而且是一條用戶看不到的縫。

　　通過(guò)這個(gè)后門，360瀏覽器可以根據(jù)監(jiān)視用戶電腦操作過(guò)程中出現(xiàn)的情況，向360云安全中心發(fā)出請(qǐng)求，360云端的后門服務(wù)體系根據(jù)請(qǐng)求，給出相應(yīng)的DLL，即windows可執(zhí)行程序庫(kù)。這個(gè)DLL通過(guò)360瀏覽器的后門，直接進(jìn)入用戶的windows系統(tǒng)。

　　此時(shí)，這個(gè)DLL好生了得，它甚至已不受瀏覽器的控制，它在用戶windows系統(tǒng)中可做的事情包括但不限于：

　　獲取用戶的文件，并上傳到云端；

　　讀寫、增刪用戶的文件；

　　監(jiān)聽用戶通訊；

　　更改windows系統(tǒng)的注冊(cè)表或重要的設(shè)置參數(shù)；

　　悄悄卸載競(jìng)爭(zhēng)對(duì)手的產(chǎn)品，等等。

　　同時(shí)，這個(gè)DLL還可以通過(guò)這個(gè)后門，直接對(duì)互聯(lián)網(wǎng)發(fā)出指令，包括但不限于：

　　自動(dòng)從360服務(wù)器下載軟件來(lái)安裝或運(yùn)行；

　　代替用戶直接進(jìn)行電子商務(wù)操作；

　　釋放木馬或病毒、創(chuàng)建常駐系統(tǒng)的服務(wù)，等等。

　　360是否做了這些呢？如果做了，對(duì)其自身又會(huì)有怎樣的價(jià)值呢？會(huì)對(duì)行業(yè)、用戶帶來(lái)怎樣的傷害呢？沒有人知道答案。

　　“搞清楚這些細(xì)節(jié)后，我就著手重現(xiàn)后門機(jī)制的運(yùn)作，讓本來(lái)不可見的過(guò)程變得可見，以做可視化演示，讓大家不僅能感知而且能 ‘看到’360暗設(shè)的這道‘后門’。”獨(dú)立調(diào)查員表示。

　　在他看來(lái)，360那個(gè)后門每5分鐘都會(huì)找360服務(wù)器下載一個(gè)DLL并加載執(zhí)行，但它是個(gè)后門，隱蔽性第一，因此DLL無(wú)論如何不會(huì)現(xiàn)身，不存在彈出對(duì)話窗口或消息框，因此需要給它模擬一個(gè)測(cè)試環(huán)境。

　　“通過(guò)在本地架設(shè)DNS服務(wù)，劫持#的域名解析，把我的機(jī)器偽裝成360的服務(wù)器，然后那個(gè)注入瀏覽器的DLL不就由我自由控制了么？”獨(dú)立調(diào)查員表示，通過(guò)編一個(gè)只要被加載執(zhí)行就馬上彈出消息框的DLL，拿自己寫的DLL注入給360瀏覽器，這就讓360瀏覽器的后門機(jī)制的運(yùn)行完全可見了。

　　就這樣，瀏覽器果然如預(yù)期的那樣，把獨(dú)立調(diào)查員在DLL里面寫的消息框給彈出來(lái)了。