360兼具裁判員、運動員雙重身份
每日經濟新聞記者 秦俑 近日,百度要求鳳巢(百度搜索營銷管理平臺)用戶安裝安全插件,以檢驗瀏覽器的安
每日經濟新聞記者 秦俑
近日,百度要求鳳巢(百度搜索營銷管理平臺)用戶安裝安全插件,以檢驗瀏覽器的安全性。而360以用戶名義,給予這個插件以 “網友差評”標簽,并通過其系統,認定該插件為“偷拍插件”。然后,在360安全衛士的“清理插件”功能下,直接誘導和恐嚇用戶卸載該插件。
360憑什么將百度這個插件定義為“偷拍插件”?憑什么要用戶卸載?事實上,全球其他所有瀏覽器均對上述插件無異議。
獨立調查員向《每日經濟新聞》記者分析說,360軟件 (含互聯網服務)產品,涵蓋安全防護(安全衛士、手機衛士、殺毒等)、操作環境(瀏覽器、桌面、軟件管家等)、工具軟件(五花八門)、游戲平臺、導航搜索和電商網站等,“如果把電腦系統比作軟件產品的運動場,從安全角度看,安全防護產品是裁判員,其他產品則是運動員”。
很顯然,360兼具裁判員、運動員雙重身份。
做為裁判員,360能否公平對待同場競爭的運動員(競爭對手)和看臺觀眾(用戶),是人們判斷其價值最關鍵、也是最重要的因素。
“我們無法想象,微軟會通過Windows產品不斷提示用戶IE才是安全的瀏覽器、借網民的名義指控Google搜索是釣魚網銀的幫兇、騰訊電腦管家是最差的安全防護產品;我們無法想象,微軟通過Windows產品把用戶安裝的所有瀏覽器的默認首頁都強行設定為自身的官方網站;我們無法想象,微軟會通過Windows產品向全球電腦秘密下達卸載Chrome瀏覽器的指令;我們無法想象,微軟Bing搜索引擎盜用Google搜索引擎的結果數據。”獨立調查員說,“是的,善良的人們無法想象,更無法接受這一切,有社會責任感的企業公民對此都會嗤之以鼻"我們絕不這么干!"”
獨立調查員認為,360有兩條“成功密鑰”,第一,是以“民事訴訟8連敗”為代表的發展模式:先踩法律底線,以求先發展在中國,360鉆了品牌與道德成本太低的空子;第二,就是以安全和免費名義 “綁架”用戶,然后以安全裁判員的身份,展開“競爭”。
以“永久免費”為口號,360安全衛士及其關聯產品很快占據較高市場份額。
“電腦安全性評分”是360安全衛士最重要的基礎性功能。360安全衛士會自動掃描客戶端所在系統的“安全隱患”,不符合360“安全標準”要求的就扣分,但評分標準和權重并不公開。
比如全新安裝的Windows7,在開啟自動更新、尚未安裝任何第三方軟件前,360安全衛士對其安全評估結果竟是0分 (滿分100分)。這個0分意味著什么?Windows真的很不安全?實際測試發現,根據其安全警示清單一項一項 “優化或修復”后,評分逐步增加,但始終處于低位、不到60分,直到“優化瀏覽器”并“鎖定首頁”后,安全性評分迅速接近滿分!事實上,所謂“優化瀏覽器”就是“安裝360瀏覽器并設定為默認瀏覽器”,“鎖定首頁”就是“修改首頁為360導航”。
需要修復的項目還有 (不限于):卸載“差評插件”百度瀏覽器工具欄、優化IE(實為篡改IE的首頁、標簽頁、默認搜索引擎為360的有關服務)、刪除收藏夾中對手的項目(百度、騰訊、谷歌等)等等。
360安全衛士甚至曾偽裝成微軟 Windows補 丁 安 裝 程 序KB360018,以“IE6內核升級”的名義欺騙用戶安裝360瀏覽器。國外權威技術網站SystemExplorer已將360的這個假冒微軟系統補丁文件定為“100%安全威脅”,從而使后者遭遇微軟調查。
尤其是360安全衛士在評分后的“一鍵修復”功能,更是其占領市場的利器。其借助傻瓜式的“一鍵修復”,導致用戶在電腦上用什么、不用什么,都由360安全衛士說了算,至于是否都與安全性有關,一般用戶自然看不出門道,相反還會對360的這些“強奸”行為“感恩戴德”這些用戶原本連安裝或卸載軟件的操作都不熟練,而360安全衛士就是一臺“傻瓜相機”。
事實上,360安全衛士不只是一臺“傻瓜相機”,其云安全數據中心動態控制著一切,可以根據360自身需要更改其軟件資料庫、評分標準和權重,隨時準備向對手發起“云查殺”以保護自身利益。
獨立調查員向 《每日經濟新聞》記者分析說,360的發展路徑,即從360軟件產品底層技術構架開始,埋下不同于所有互聯網公司發展的“癌變基因”,然后,此“癌變基因”通過浸潤,向操作環境領域發展,再向工具軟件、游戲平臺發展,最終進入真正的互聯網領域導航、搜索、電商網站,以及電商網銀體系等。
360綠色網站的安全謊言:“偷梁換柱”浸潤電商網銀安全體系/
2月6日,360官網上一條 “網購首選,3億用戶的共同選擇”的廣告悄然上線。打開這條廣告鏈接,以“網購安全”為主題的新款“360安全瀏覽器”赫然在目。
據《每日經濟新聞》記者獲得的360內部信息,360將借今年的“3·15”活動,大力推動與國內電商企業的合作,以將360安全瀏覽器植入電商領域。這則推廣廣告,正是這一步驟的前奏曲。
據記者調查,360兩年前開始布局電子商務安全領域,其最先打出的 “安全產品”是 “網銀無憂”、“地址欄銘牌”,即360瀏覽器主推的“綠色網站認證”。
360向人們傳遞的信息是,“360綠色網站認證”可以確保用戶使用網銀以及電子商務交易安全。
眾所周知,電子商務的交易安全,尤其是網銀,一直是網民、乃至整個社會焦點關注的問題之一。歐美、日本等國家的網銀安全體系非常復雜與發達,而國內的網銀體系,也是在小心設想、小心求證的前提下,一步步地展開。
那么,360是否真的具備這個能力取代網銀服務提供者身份驗證體系,由自身來充當網銀“保鏢”呢?
獨立調查員懷疑360公司是否具備這個能力。于是,他進行了如下實驗,以了解360綠色網站認證機制:
在本機模擬,將招行網銀域名劫持到IP為50.63.127.126(xliar.com)的網站,并在目標服務器上構建相應目錄體系和登錄頁文件,然后使用360安全瀏覽器訪問招行大眾版登錄頁,從而進入偽裝的招行網銀頁面。
360網購保鏢自動檢測招行運行環境,幾秒鐘后完成檢測,報告“本次檢測未發現風險,現在可以放心網購了!”
此時瀏覽器地址欄銘牌顯示為“招商銀行”,點擊后彈出“通過綠色網站認證”,披著“招行網銀”外衣的劫持網址,即被360認證為招行官方網站。
而同樣的操作,使用IE瀏覽器訪問時,IE瀏覽器地址欄則會以非常顯眼的方式告知用戶“(網站數字)證書錯誤”,點擊錯誤信息可知,該網站證書不屬于招商銀行網站。
事實上,用國際主流的瀏覽器均會彈出類似的錯誤提醒警示,用戶收到信息后自然會停止交易、避免損失。
這意味著,如果一家詐騙網站通過域名劫持招商銀行網站,所謂的“360綠色網站認證”并不能有效執行網銀保鏢的辨識功能,進行安全認證。
360安全瀏覽器的安全檢查能力為什么會如此之低呢?
據 《每日經濟新聞》記者了解,目前國際主流的認證機構為VeriSign,包括中國工商銀行、中國建設銀行、中國銀行、中國農業銀行均采用該機構認證。招商銀行網頁所顯示的,也正是該機構的認證,這也作為網上銀行安全的基本保證而得到公認。
而獨立調查員演示的證據顯示,360瀏覽器直接屏蔽認證機構VeriSign基于加密體系的可信認證,將其替換成了360綠色網站認證。
獨立調查員提醒網購者,應信任銀行網站自身的安全證書,并在整個交易過程中關注地址欄域名和安全證書中的域名是否一致,以及其根域名是否與官方域名一致,切勿輕易信任和依賴360的“綠色網站認證”。
獨立調查員認為,這又是另一起360“破壞性創新”的典型案例:“一點技術含量也沒有的網站身份認證,竟然可以公然取代國際上通行的網上銀行安全認證體系。這就是360的非創新型破壞。”
然而,對于類似公然挑釁國際準則的行為,為什么監管部門可以坐視不管呢?
可以預想的是,一旦360大規模啟動“各大電商推薦安全購物使用360瀏覽器”活動,人們的網上購物均要依賴于 “360綠色網站認證”,360收獲的將是又一次360式“癌性擴張”,而中國的網銀體系又將會面臨怎樣的可怕變局?
移動圈地:“非創新型”破壞或止步于蘋果?/
在360的2012年年會上,360董事長周鴻祎對員工指出:“我認為未來兩年將決定整個無線互聯網的市場格局……在過去的一年,360手機衛士用戶量突破2億,360手機助手的用戶量也突破了1億,成為360在無線互聯網上的兩個支柱。但兩根柱子支撐不了一個房子,我希望各個團隊在2013年會有新的產品能夠脫穎而出,包括很多PC的產品也可以尋找在無線上的發展機會。很簡單,未來不會再有無線互聯網公司了,因為每個公司都必須是基于無線互聯網的;也不會有PC產品部、無線產品部的區分,因為以后所有產品都會在PC和移動終端上打通,而沒有無線互聯網策略和產品的公司將會被淘汰。”
這段講話基本上代表了360近期在移動端發展與布局的方向。
在移動端,360是否會重復使用“癌性擴張”的方式來圈地呢?
《每日經濟新聞》記者在調查中發現,無論是微博還是公開的論壇,皆有不少用戶曝光了360的一些“作惡”行為,大多包括以下內容:在智能手機通過USB接入電腦充電或同步數據時,360彈出手機助手的提示,不經意中安裝360的其他產品,甚至裝上360的產品之后,其他非360的應用會莫名其妙地“被卸載”。
這也意味著,在移動端的圈地運動中,360依然在復制其PC領域的“癌式擴張”做法:除了做安全產品外,自身同時開發了全系列的手機軟件,然后重新演繹一遍其在PC端的玩法。
據《每日經濟新聞》記者掌握的一份來自某互聯網工程師的爆料,包括360手機衛士、360手機通訊錄、360手機瀏覽器等系列產品存在明文上傳用戶隱私數據。上述爆料人提供的證據指出,在機場、咖啡廳,手機用戶使用WiFi上網時,只要登錄360手機衛士及360手機通訊錄,或者進行云備份或云恢復,用戶名(手機號)、手機IMEI碼和密碼等高度敏感信息就會通過請求網址明文傳輸,有了這些身份鑒別信息,可以使用任何瀏覽器從360通訊錄服務器tongxunlu.360.cn的非安全通道直接下載用戶云備份的通訊錄等隱私。
這也意味著第三方可以輕松竊取360用戶登錄各個網站的密碼MD5信息和手機號,進而可以獲取用戶包括短信、彩信、通訊錄、通訊記錄等所有相關隱私數據,而且還可以篡改并進行釣魚。
對此,獨立調查員進行了相應復檢,發現含高度敏感信息的請求網址的參數部分,僅以BASE64編碼(可簡單解碼,與明文無異),而用戶密碼雖然經過MD5加密、但是可直接用于登錄,且對客戶端合法性沒有任何校驗。獨立調查員向《每日經濟新聞》記者說,請求網址極易被非法攔截,在網址中明文夾帶傳輸高度敏感信息,以及使用非安全通道下載用戶隱私數據,等于把手機用戶隱私暴露在陽光下。
這一現狀,與當年360安全衛士起家時如出一轍。
據《每日經濟新聞》記者所掌握的證據,國內有多家公司與個人,對360這方面的“不規距”行為進行了技術論證與法律取證。但這一切,似乎并不能動搖360在此領域的擴張。
不過目前,似乎有了一些改變。
1月25日,iOS平臺上,360旗下360手機衛士、360瀏覽器等一些應用突然被蘋果應用商店下架,一時在國內引起巨大反響。
360產品被蘋果下架,這已不是第一次。2012年2月6日,360旗下包括360手機衛士、360口信、360瀏覽器HD、360電池醫生、360安全備份、360團購HD等系列產品均被蘋果應用商店下架。
隨后,有專業分析師就曾公開表示,通過研究360相關應用的代碼發現,至少360手機衛士和電池醫生兩款應用存在各種侵犯用戶隱私的行為,主要包括:非法讀取用戶iPhone上的應用信息、非法閱覽用戶的照片和音樂文件夾,而iOS版360手機衛士部分代碼還顯示,360正在獲取系統進程資源信息,而上述行為均為蘋果應用商店嚴禁的違規行為。
而這一次下架的原因又是什么呢?
據360的官方說法,此次下架,與360手機衛士企業版測試時違反了蘋果相應規則有關360嘗試為中國境內企業用戶提供 “騷擾電話攔截”和“來電歸屬地顯示”等功能。
外界對此也猜測不一:第一,猜測認為,360的多個應用涉嫌調用蘋果私有API,以獲取更高權限,而蘋果明令禁止這一點;第二,涉嫌刷榜,影響在蘋果應用商店的排名;第三,360多次使用企業證書對外發布公測版本;第四,多款應用涉嫌自建下載渠道,為用戶提供越獄版本。而360的這一切動作,都是對現行互聯網游戲規則的明顯侵犯。
IDF互聯網情報威懾防御實驗室創始人萬濤對此認為,最大的可能是,360在將其代替用戶直接進行操作的“非創新型破壞”,從底層數據向上延展,最終到達應用層時遭到蘋果的阻擊,比如蘋果嚴厲禁止調用私有API,但360手機衛士企業版測試卻對外開放了私有API的下載鏈接。又如,蘋果對用戶隱私信息的保護非常嚴厲,而360在這方面觸及規則,這非常容易觸怒蘋果;
《每日經濟新聞》記者調查發現,去年iOS版360手機助手上線時,其產品分為手機客戶端版和PC客戶端版,其PC客戶端版可以直接繞過蘋果應用商店為用戶提供下載鏈接,這也意味著360利用用戶數量進行平臺化,蠶食蘋果市場收益。
業內專業人士管鵬則透露了另一個細節,前段時間傳“快用”與360合作,將快用的技術接入360手機瀏覽器中。“快用”有一項核心技術“ipa2exe”,這一技術允許iOS開發者把自己的應用與快用的仿iTunes程序打包在一起,使用戶可以像下載普通的PC軟件一樣下載iOS應用,并在PC上一鍵安裝進自己的蘋果設備這已經和越獄市場沒有區別了,“或許,這也是360下架的重要原因”。
近日,百度要求鳳巢(百度搜索營銷管理平臺)用戶安裝安全插件,以檢驗瀏覽器的安全性。而360以用戶名義,給予這個插件以 “網友差評”標簽,并通過其系統,認定該插件為“偷拍插件”。然后,在360安全衛士的“清理插件”功能下,直接誘導和恐嚇用戶卸載該插件。
360憑什么將百度這個插件定義為“偷拍插件”?憑什么要用戶卸載?事實上,全球其他所有瀏覽器均對上述插件無異議。
獨立調查員向《每日經濟新聞》記者分析說,360軟件 (含互聯網服務)產品,涵蓋安全防護(安全衛士、手機衛士、殺毒等)、操作環境(瀏覽器、桌面、軟件管家等)、工具軟件(五花八門)、游戲平臺、導航搜索和電商網站等,“如果把電腦系統比作軟件產品的運動場,從安全角度看,安全防護產品是裁判員,其他產品則是運動員”。
很顯然,360兼具裁判員、運動員雙重身份。
做為裁判員,360能否公平對待同場競爭的運動員(競爭對手)和看臺觀眾(用戶),是人們判斷其價值最關鍵、也是最重要的因素。
“我們無法想象,微軟會通過Windows產品不斷提示用戶IE才是安全的瀏覽器、借網民的名義指控Google搜索是釣魚網銀的幫兇、騰訊電腦管家是最差的安全防護產品;我們無法想象,微軟通過Windows產品把用戶安裝的所有瀏覽器的默認首頁都強行設定為自身的官方網站;我們無法想象,微軟會通過Windows產品向全球電腦秘密下達卸載Chrome瀏覽器的指令;我們無法想象,微軟Bing搜索引擎盜用Google搜索引擎的結果數據。”獨立調查員說,“是的,善良的人們無法想象,更無法接受這一切,有社會責任感的企業公民對此都會嗤之以鼻"我們絕不這么干!"”
獨立調查員認為,360有兩條“成功密鑰”,第一,是以“民事訴訟8連敗”為代表的發展模式:先踩法律底線,以求先發展在中國,360鉆了品牌與道德成本太低的空子;第二,就是以安全和免費名義 “綁架”用戶,然后以安全裁判員的身份,展開“競爭”。
以“永久免費”為口號,360安全衛士及其關聯產品很快占據較高市場份額。
“電腦安全性評分”是360安全衛士最重要的基礎性功能。360安全衛士會自動掃描客戶端所在系統的“安全隱患”,不符合360“安全標準”要求的就扣分,但評分標準和權重并不公開。
比如全新安裝的Windows7,在開啟自動更新、尚未安裝任何第三方軟件前,360安全衛士對其安全評估結果竟是0分 (滿分100分)。這個0分意味著什么?Windows真的很不安全?實際測試發現,根據其安全警示清單一項一項 “優化或修復”后,評分逐步增加,但始終處于低位、不到60分,直到“優化瀏覽器”并“鎖定首頁”后,安全性評分迅速接近滿分!事實上,所謂“優化瀏覽器”就是“安裝360瀏覽器并設定為默認瀏覽器”,“鎖定首頁”就是“修改首頁為360導航”。
需要修復的項目還有 (不限于):卸載“差評插件”百度瀏覽器工具欄、優化IE(實為篡改IE的首頁、標簽頁、默認搜索引擎為360的有關服務)、刪除收藏夾中對手的項目(百度、騰訊、谷歌等)等等。
360安全衛士甚至曾偽裝成微軟 Windows補 丁 安 裝 程 序KB360018,以“IE6內核升級”的名義欺騙用戶安裝360瀏覽器。國外權威技術網站SystemExplorer已將360的這個假冒微軟系統補丁文件定為“100%安全威脅”,從而使后者遭遇微軟調查。
尤其是360安全衛士在評分后的“一鍵修復”功能,更是其占領市場的利器。其借助傻瓜式的“一鍵修復”,導致用戶在電腦上用什么、不用什么,都由360安全衛士說了算,至于是否都與安全性有關,一般用戶自然看不出門道,相反還會對360的這些“強奸”行為“感恩戴德”這些用戶原本連安裝或卸載軟件的操作都不熟練,而360安全衛士就是一臺“傻瓜相機”。
事實上,360安全衛士不只是一臺“傻瓜相機”,其云安全數據中心動態控制著一切,可以根據360自身需要更改其軟件資料庫、評分標準和權重,隨時準備向對手發起“云查殺”以保護自身利益。
獨立調查員向 《每日經濟新聞》記者分析說,360的發展路徑,即從360軟件產品底層技術構架開始,埋下不同于所有互聯網公司發展的“癌變基因”,然后,此“癌變基因”通過浸潤,向操作環境領域發展,再向工具軟件、游戲平臺發展,最終進入真正的互聯網領域導航、搜索、電商網站,以及電商網銀體系等。
360綠色網站的安全謊言:“偷梁換柱”浸潤電商網銀安全體系/
2月6日,360官網上一條 “網購首選,3億用戶的共同選擇”的廣告悄然上線。打開這條廣告鏈接,以“網購安全”為主題的新款“360安全瀏覽器”赫然在目。
據《每日經濟新聞》記者獲得的360內部信息,360將借今年的“3·15”活動,大力推動與國內電商企業的合作,以將360安全瀏覽器植入電商領域。這則推廣廣告,正是這一步驟的前奏曲。
據記者調查,360兩年前開始布局電子商務安全領域,其最先打出的 “安全產品”是 “網銀無憂”、“地址欄銘牌”,即360瀏覽器主推的“綠色網站認證”。
360向人們傳遞的信息是,“360綠色網站認證”可以確保用戶使用網銀以及電子商務交易安全。
眾所周知,電子商務的交易安全,尤其是網銀,一直是網民、乃至整個社會焦點關注的問題之一。歐美、日本等國家的網銀安全體系非常復雜與發達,而國內的網銀體系,也是在小心設想、小心求證的前提下,一步步地展開。
那么,360是否真的具備這個能力取代網銀服務提供者身份驗證體系,由自身來充當網銀“保鏢”呢?
獨立調查員懷疑360公司是否具備這個能力。于是,他進行了如下實驗,以了解360綠色網站認證機制:
在本機模擬,將招行網銀域名劫持到IP為50.63.127.126(xliar.com)的網站,并在目標服務器上構建相應目錄體系和登錄頁文件,然后使用360安全瀏覽器訪問招行大眾版登錄頁,從而進入偽裝的招行網銀頁面。
360網購保鏢自動檢測招行運行環境,幾秒鐘后完成檢測,報告“本次檢測未發現風險,現在可以放心網購了!”
此時瀏覽器地址欄銘牌顯示為“招商銀行”,點擊后彈出“通過綠色網站認證”,披著“招行網銀”外衣的劫持網址,即被360認證為招行官方網站。
而同樣的操作,使用IE瀏覽器訪問時,IE瀏覽器地址欄則會以非常顯眼的方式告知用戶“(網站數字)證書錯誤”,點擊錯誤信息可知,該網站證書不屬于招商銀行網站。
事實上,用國際主流的瀏覽器均會彈出類似的錯誤提醒警示,用戶收到信息后自然會停止交易、避免損失。
這意味著,如果一家詐騙網站通過域名劫持招商銀行網站,所謂的“360綠色網站認證”并不能有效執行網銀保鏢的辨識功能,進行安全認證。
360安全瀏覽器的安全檢查能力為什么會如此之低呢?
據 《每日經濟新聞》記者了解,目前國際主流的認證機構為VeriSign,包括中國工商銀行、中國建設銀行、中國銀行、中國農業銀行均采用該機構認證。招商銀行網頁所顯示的,也正是該機構的認證,這也作為網上銀行安全的基本保證而得到公認。
而獨立調查員演示的證據顯示,360瀏覽器直接屏蔽認證機構VeriSign基于加密體系的可信認證,將其替換成了360綠色網站認證。
獨立調查員提醒網購者,應信任銀行網站自身的安全證書,并在整個交易過程中關注地址欄域名和安全證書中的域名是否一致,以及其根域名是否與官方域名一致,切勿輕易信任和依賴360的“綠色網站認證”。
獨立調查員認為,這又是另一起360“破壞性創新”的典型案例:“一點技術含量也沒有的網站身份認證,竟然可以公然取代國際上通行的網上銀行安全認證體系。這就是360的非創新型破壞。”
然而,對于類似公然挑釁國際準則的行為,為什么監管部門可以坐視不管呢?
可以預想的是,一旦360大規模啟動“各大電商推薦安全購物使用360瀏覽器”活動,人們的網上購物均要依賴于 “360綠色網站認證”,360收獲的將是又一次360式“癌性擴張”,而中國的網銀體系又將會面臨怎樣的可怕變局?
移動圈地:“非創新型”破壞或止步于蘋果?/
在360的2012年年會上,360董事長周鴻祎對員工指出:“我認為未來兩年將決定整個無線互聯網的市場格局……在過去的一年,360手機衛士用戶量突破2億,360手機助手的用戶量也突破了1億,成為360在無線互聯網上的兩個支柱。但兩根柱子支撐不了一個房子,我希望各個團隊在2013年會有新的產品能夠脫穎而出,包括很多PC的產品也可以尋找在無線上的發展機會。很簡單,未來不會再有無線互聯網公司了,因為每個公司都必須是基于無線互聯網的;也不會有PC產品部、無線產品部的區分,因為以后所有產品都會在PC和移動終端上打通,而沒有無線互聯網策略和產品的公司將會被淘汰。”
這段講話基本上代表了360近期在移動端發展與布局的方向。
在移動端,360是否會重復使用“癌性擴張”的方式來圈地呢?
《每日經濟新聞》記者在調查中發現,無論是微博還是公開的論壇,皆有不少用戶曝光了360的一些“作惡”行為,大多包括以下內容:在智能手機通過USB接入電腦充電或同步數據時,360彈出手機助手的提示,不經意中安裝360的其他產品,甚至裝上360的產品之后,其他非360的應用會莫名其妙地“被卸載”。
這也意味著,在移動端的圈地運動中,360依然在復制其PC領域的“癌式擴張”做法:除了做安全產品外,自身同時開發了全系列的手機軟件,然后重新演繹一遍其在PC端的玩法。
據《每日經濟新聞》記者掌握的一份來自某互聯網工程師的爆料,包括360手機衛士、360手機通訊錄、360手機瀏覽器等系列產品存在明文上傳用戶隱私數據。上述爆料人提供的證據指出,在機場、咖啡廳,手機用戶使用WiFi上網時,只要登錄360手機衛士及360手機通訊錄,或者進行云備份或云恢復,用戶名(手機號)、手機IMEI碼和密碼等高度敏感信息就會通過請求網址明文傳輸,有了這些身份鑒別信息,可以使用任何瀏覽器從360通訊錄服務器tongxunlu.360.cn的非安全通道直接下載用戶云備份的通訊錄等隱私。
這也意味著第三方可以輕松竊取360用戶登錄各個網站的密碼MD5信息和手機號,進而可以獲取用戶包括短信、彩信、通訊錄、通訊記錄等所有相關隱私數據,而且還可以篡改并進行釣魚。
對此,獨立調查員進行了相應復檢,發現含高度敏感信息的請求網址的參數部分,僅以BASE64編碼(可簡單解碼,與明文無異),而用戶密碼雖然經過MD5加密、但是可直接用于登錄,且對客戶端合法性沒有任何校驗。獨立調查員向《每日經濟新聞》記者說,請求網址極易被非法攔截,在網址中明文夾帶傳輸高度敏感信息,以及使用非安全通道下載用戶隱私數據,等于把手機用戶隱私暴露在陽光下。
這一現狀,與當年360安全衛士起家時如出一轍。
據《每日經濟新聞》記者所掌握的證據,國內有多家公司與個人,對360這方面的“不規距”行為進行了技術論證與法律取證。但這一切,似乎并不能動搖360在此領域的擴張。
不過目前,似乎有了一些改變。
1月25日,iOS平臺上,360旗下360手機衛士、360瀏覽器等一些應用突然被蘋果應用商店下架,一時在國內引起巨大反響。
360產品被蘋果下架,這已不是第一次。2012年2月6日,360旗下包括360手機衛士、360口信、360瀏覽器HD、360電池醫生、360安全備份、360團購HD等系列產品均被蘋果應用商店下架。
隨后,有專業分析師就曾公開表示,通過研究360相關應用的代碼發現,至少360手機衛士和電池醫生兩款應用存在各種侵犯用戶隱私的行為,主要包括:非法讀取用戶iPhone上的應用信息、非法閱覽用戶的照片和音樂文件夾,而iOS版360手機衛士部分代碼還顯示,360正在獲取系統進程資源信息,而上述行為均為蘋果應用商店嚴禁的違規行為。
而這一次下架的原因又是什么呢?
據360的官方說法,此次下架,與360手機衛士企業版測試時違反了蘋果相應規則有關360嘗試為中國境內企業用戶提供 “騷擾電話攔截”和“來電歸屬地顯示”等功能。
外界對此也猜測不一:第一,猜測認為,360的多個應用涉嫌調用蘋果私有API,以獲取更高權限,而蘋果明令禁止這一點;第二,涉嫌刷榜,影響在蘋果應用商店的排名;第三,360多次使用企業證書對外發布公測版本;第四,多款應用涉嫌自建下載渠道,為用戶提供越獄版本。而360的這一切動作,都是對現行互聯網游戲規則的明顯侵犯。
IDF互聯網情報威懾防御實驗室創始人萬濤對此認為,最大的可能是,360在將其代替用戶直接進行操作的“非創新型破壞”,從底層數據向上延展,最終到達應用層時遭到蘋果的阻擊,比如蘋果嚴厲禁止調用私有API,但360手機衛士企業版測試卻對外開放了私有API的下載鏈接。又如,蘋果對用戶隱私信息的保護非常嚴厲,而360在這方面觸及規則,這非常容易觸怒蘋果;
《每日經濟新聞》記者調查發現,去年iOS版360手機助手上線時,其產品分為手機客戶端版和PC客戶端版,其PC客戶端版可以直接繞過蘋果應用商店為用戶提供下載鏈接,這也意味著360利用用戶數量進行平臺化,蠶食蘋果市場收益。
業內專業人士管鵬則透露了另一個細節,前段時間傳“快用”與360合作,將快用的技術接入360手機瀏覽器中。“快用”有一項核心技術“ipa2exe”,這一技術允許iOS開發者把自己的應用與快用的仿iTunes程序打包在一起,使用戶可以像下載普通的PC軟件一樣下載iOS應用,并在PC上一鍵安裝進自己的蘋果設備這已經和越獄市場沒有區別了,“或許,這也是360下架的重要原因”。