12年10月31日發(fā)了一篇名為：“

  　這是一件真實(shí)的事情：多年前，業(yè)內(nèi)一家知名IT公司一個產(chǎn)品將上線，但蹊蹺的是，該產(chǎn)品上線前一天，360的同類產(chǎn)品突然上線。而且，360上線產(chǎn)品的頁面與該公司準(zhǔn)備上線的版本幾乎一模一樣。這家IT公司的此款產(chǎn)品不上線已不可能，而改版也已不可能。被逼無奈之下，該產(chǎn)品只能硬著頭皮上線。讓這家IT公司哭笑不得的是，由于此款產(chǎn)品上線時間比360同類產(chǎn)品晚一天，所以用戶普遍認(rèn)為，該公司的產(chǎn)品抄襲了360產(chǎn)品。

　　此類詭異怪事，在業(yè)內(nèi)已不止一次發(fā)生。

　　誰是泄密者？上述IT公司最終未能找到“臥底”，不過開始將質(zhì)疑對象聚焦在360產(chǎn)品身上。因?yàn)閷?shí)查結(jié)果發(fā)現(xiàn)，該公司不少員工

　　國內(nèi)幾家互聯(lián)網(wǎng)巨頭公司，均以安全為由禁止使用一家以互聯(lián)網(wǎng)安全著稱的公司的相關(guān)產(chǎn)品，這在中國IT界構(gòu)成了一道未解的謎團(tuán)。

　　大型公司尚且對360產(chǎn)品避之不及，對于普通用戶來說，使用360相關(guān)“安全”產(chǎn)品，安全嗎？

　　在中國有“黑客教父”之稱的安全技術(shù)專家“黑客老鷹”，即IDF互聯(lián)網(wǎng)情報(bào)威懾防御實(shí)驗(yàn)室創(chuàng)始人萬濤認(rèn)為，從隱私保護(hù)和用戶權(quán)益的角度講，360產(chǎn)品確實(shí)存在需要澄清的地方。但中國用戶目前在隱私保護(hù)方面的意識并不強(qiáng)，這是一個比較普遍的現(xiàn)象。因?yàn)閷υS多用戶來說，“我上網(wǎng)就是看看新聞，玩玩游戲，我沒有隱私”。這一觀點(diǎn)非常流行。
　　萬濤表示，而在另一方面，多年來盡管民間在破獲360侵犯隱私等方面做了許多努力，并查獲了許多證據(jù)，但360在這方面的“反應(yīng)”也非常“嚴(yán)密”。此外，獲得的一些突破性證據(jù)因?yàn)檫^于專業(yè)，也不易讓普通用戶看懂，因此也就缺乏相應(yīng)的感知。

　　黑客揭秘：360安全產(chǎn)品背后的“安全”陷阱/

　　在深圳紅樹林，獨(dú)立調(diào)查員為《每日經(jīng)濟(jì)新聞》記者進(jìn)行了現(xiàn)場演示。他特意在自己的

　　然后，獨(dú)立調(diào)查員又打開IE、騰訊、獵豹、chrome等瀏覽器，每一個瀏覽器都很安靜，沒有任何動作。

　　“360安全瀏覽器在干嘛呢？誰也不知道。為什么要這樣忙碌呢？作為瀏覽器，其作用就是可以顯示網(wǎng)頁服務(wù)器或者文件系統(tǒng)的HTML文件內(nèi)容，并讓用戶與這些文件交互的一種軟件。根據(jù)最小特權(quán)原則，你是沒有理由在我的

　　而這，也正是許多從事安全的專家們感興趣的事情。

　　2010年2月6日，360多年的宿敵瑞星拿出了一份 “證據(jù)”，其發(fā)布的《奇虎360利用“后門”拿走了用戶什么》一文，利用大量技術(shù)細(xì)節(jié)說明360安全衛(wèi)士在安裝進(jìn)用戶

　　此事標(biāo)志著360第一次露出“不安全”的真面目，從此一發(fā)而不可收拾。

　　據(jù)《每日經(jīng)濟(jì)新聞》記者調(diào)查，國內(nèi)有一大批黑客對破獲360的防線，以及搞明白360這個黑匣子內(nèi)到底有什么非常感興趣，想通過攻擊360而獲得其侵犯用戶隱私信息的證據(jù)。他們之間甚至有一個松散型的組織，經(jīng)常交換這方面的信息。但與此同時，也有些黑客最終被360“招安”，成為其公司成員。

　　2010年12月31日，在黑客狂轟濫炸360服務(wù)器后，360防線被攻破，存儲于其服務(wù)器上的大量用戶隱私數(shù)據(jù)噴涌而出，被谷歌搜索爬蟲自動抓取，并公告天下。360多年來宣稱的 “用戶隱私大于天”的謊言正式被揭穿。

　　這份意外泄露的文件詳細(xì)記錄了大量360用戶的全網(wǎng)訪問過程，包括瀏覽的網(wǎng)頁、下載過的應(yīng)用、搜索的關(guān)鍵字等，并將這些訪問記錄與唯一用戶掛鉤。在這個服務(wù)器中，每個用戶對應(yīng)一個字符串，通過查詢字符串，可以了解用戶的所有個人信息、上網(wǎng)瀏覽記錄、賬號密碼，例如用戶在百度搜索關(guān)鍵字、淘寶購物記錄、金蝶、奇瑞等企業(yè)內(nèi)部財(cái)務(wù)網(wǎng)絡(luò)數(shù)據(jù)、某政府機(jī)構(gòu)官方郵箱用戶名及密碼等鏈接數(shù)據(jù)。

　　《每日經(jīng)濟(jì)新聞》獲得的一份對泄露日志文件分析統(tǒng)計(jì)的結(jié)果顯示，此次泄密事件涉及總條數(shù)141萬條，其中涉及用戶名信息的條目有247326個，既包含用戶名又包含密碼條目有816個。而這對于360收集的海量數(shù)據(jù)來說只是冰山一角，截至目前為止，360從沒有公開解釋被泄露的數(shù)據(jù)總量有多少，被下載了多少次。

　　然而，有關(guān)360如何“利用”用戶的信任，如《全民公敵》影片中的衛(wèi)星一樣“間諜”式地監(jiān)控著用戶的

　　獨(dú)立調(diào)查員告訴記者，360安全衛(wèi)士、360安全瀏覽器，其內(nèi)部運(yùn)作流程就像一個暗箱，外部人可以聽到里面有動作，但卻沒有辦法知道里面發(fā)生了什么，以及它如何阻止外部人破解它。

　　而獨(dú)立調(diào)查員卻偏執(zhí)地選擇了這條破解之路。他先制作了一張簡單的圖表，以揭示360拳頭產(chǎn)品360安全衛(wèi)士內(nèi)部的操作模型（如圖）。

　　從這個圖中可以看出，360安全衛(wèi)士對用戶在

　　文件上傳到360云端存儲后，文件會立即在本地被刪除，這招防御術(shù)非常兇狠，即使有人破解其行為，并獲得文件證據(jù)，但因?yàn)殡S時的刪除，很難將證據(jù)做實(shí)，變成死無對證的孤證。

　　用戶

　　據(jù)一名多年研究360產(chǎn)品的黑客告訴《每日經(jīng)濟(jì)新聞》記者，“設(shè)置如此高難度障礙的人一定是行業(yè)的高手?？梢詳喽ǎ?60內(nèi)部一定有國內(nèi)頂尖級的黑客高手。他們才有可能做到既做暗事，又不留任何把柄。這就像是一個江洋大盜，來無影，去無蹤，飄忽不定，作案后現(xiàn)場不留任何痕跡，實(shí)在是高精尖的設(shè)計(jì)。”

　　這名黑客發(fā)現(xiàn)，360安全衛(wèi)士的暗箱操作行蹤越來越?jīng)]有規(guī)律可循，換句話說，其運(yùn)作規(guī)律經(jīng)過精心

　　據(jù)《每日經(jīng)濟(jì)新聞》記者調(diào)查發(fā)現(xiàn)，國內(nèi)不止一家公司準(zhǔn)備投入大量人力來破獲360的違法行為，但最終都偃旗息鼓。原因就在于，360收集用戶信息的行為 “就像空中劃過的彗星，茫茫夜空，布下天羅地網(wǎng)，時刻守候，才有可能有所斬獲，這樣的投入產(chǎn)出比太低了”。
　　黑匣子現(xiàn)身：對用戶個人信息涉嫌暗箱操作/

　　“破解360安全衛(wèi)士的非法操作，是一件很好玩的貓捉老鼠的事情。”上述黑客向《每日經(jīng)濟(jì)新聞》記者感嘆說，360安全衛(wèi)士的技術(shù)架構(gòu)非常復(fù)雜，組件有很多程序，軟件包有幾十個可執(zhí)行的程序，還有擴(kuò)展庫。如果要查清楚是否侵犯用戶隱私，則需要對每個程序進(jìn)行分析，就像分析病毒一樣地分析每個文件，而這需要投入大量的時間和精力。
　　這名黑客給記者展示了許多“同行”間來往的郵件，此中展現(xiàn)出破解之后的喜悅，以及經(jīng)驗(yàn)的交流。

　　而獨(dú)立調(diào)查員宣稱，他“已基本破解了360安全衛(wèi)士的謎局，但離發(fā)布還為時尚早”，因?yàn)樗?ldquo;鐵板釘釘?shù)氖虑?rdquo;。

　　在《每日經(jīng)濟(jì)新聞》記者保證不會將其操作思路披露的情況下，獨(dú)立調(diào)查員將其操作的核心步驟進(jìn)行了詳盡的現(xiàn)場演示。在征得其允諾的情況下，記者可以告知的是：針對360的設(shè)置，進(jìn)行反向操作，反向分析而破解。

　　到目前為止，已經(jīng)披露的最重要證據(jù)為獨(dú)立調(diào)查員于2012年12月6日在其微博上發(fā)布的一個視頻（http:/weibo.com/2902756801/z8BUvfWqe）。這份視頻詳盡地破解了360安全衛(wèi)士秘密獲取用戶信息的過程。

　　獨(dú)立調(diào)查員告訴記者，這份13分36秒的視頻以完整的手法記錄了破獲360竊取用戶隱私的證據(jù)。它證明了360在用戶

　　但據(jù)獨(dú)立調(diào)查員宣稱，這份視頻資料并非其采集、制作，“而是來自一名自稱是安全領(lǐng)域?qū)＜业哪涿耸?rdquo;，他通過微博私信向獨(dú)立調(diào)查員爆料：自己已經(jīng)掌握了360安全衛(wèi)士7.3竊取用戶隱私并上傳到360服務(wù)器的司法證據(jù)，現(xiàn)在可以無償將這段司法證據(jù)給他。

　　而關(guān)于這份證據(jù)，獨(dú)立調(diào)查員認(rèn)為，將是未來給360的“一顆小小的炸彈”，在法庭上是有力的呈堂證供。

　　據(jù)記者了解，去年11月28日，在易觀國際主辦的“易士堂”網(wǎng)絡(luò)安全論壇（第二季）論壇上，這份視頻資料也曾分享給包括國家信息中心、中國信息安全測評中心等安全業(yè)界人士；而最初制作這段視頻并進(jìn)行司法公證的正是金山安全專家李鐵軍。不過李鐵軍否認(rèn)自己就是給獨(dú)立調(diào)查員爆料的匿名人士。

　　據(jù)李鐵軍透露，2010年11月，卡飯安全論壇有人爆料稱“360安全衛(wèi)士7.3的某個版本會竊取用戶隱私上傳到360服務(wù)器”，爆料的內(nèi)容非常簡單，只提供了一個有趣的細(xì)節(jié)暗示：需要用戶在360loginfo目錄對刪除權(quán)限做一個修改才有可能捕捉到360的罪證，帖子不久就消失了。

　　李鐵軍首先嘗試重現(xiàn)帖子描述的問題，而不是對軟件進(jìn)行逆向分析，經(jīng)過數(shù)月才完成了這一個證據(jù)的抓取。

　　“反反復(fù)復(fù)不知道試了多少回。”李鐵軍對《每日經(jīng)濟(jì)新聞》記者表示，憑借多年的經(jīng)驗(yàn)，他終于找到了關(guān)鍵所在，比如有竊取隱私問題的360安全衛(wèi)士版本號為7.3.0.2003l，數(shù)字簽名時間為2010年11月8日，要想重現(xiàn)必須將360loginfo訪問權(quán)限修改為“所有人不可刪除”；再比如安裝時修改系統(tǒng)時間與2010年11月8日不能相差太久，安裝前須斷開網(wǎng)絡(luò)（禁用網(wǎng)卡或拔網(wǎng)線）。

　　即使這樣，也有一些情況在李鐵軍“意料之外”。

　　“開始想到的是禁用網(wǎng)卡和改360loginfo目錄的訪問權(quán)限，但奇怪的是，有時能在安裝后幾分鐘內(nèi)即可在360loginfo目錄看到日志生成，有時等幾小時都不能重現(xiàn)，于是嘗試將系統(tǒng)日期從單數(shù)修改為雙數(shù)或從雙數(shù)修改為單數(shù)，結(jié)果很快看到奇怪的日志文件出現(xiàn)了。”李鐵軍表示，這幾條重現(xiàn)規(guī)則是反復(fù)多次嘗試之后才總結(jié)出來的。

　　而上述結(jié)果也在曝光之后第一時間得到IDF互聯(lián)網(wǎng)情報(bào)威懾防御實(shí)驗(yàn)室的驗(yàn)證。2012年11月25日，該實(shí)驗(yàn)室發(fā)布報(bào)告表示，360安全衛(wèi)士v7.3.0.2003l所搜集用戶軟件操作信息，對用戶隱私造成風(fēng)險(xiǎn)，若用戶運(yùn)行 某 一 程 序 ，360安 全 衛(wèi) 士v7.3.0.2003l會把程序所在路徑搜集并未經(jīng)加密上傳至360服務(wù)器。若360公司所存放信息的數(shù)據(jù)庫泄露或傳輸數(shù)據(jù)被黑客截取進(jìn)行社工分析，可造成用戶的信息泄露。

　　萬濤對《每日經(jīng)濟(jì)新聞》表示，根據(jù)之前的評測報(bào)告，360安全衛(wèi)士v7.3.0.2003l對用戶信息的處理涉嫌未遵守其中的用戶知情權(quán)、選擇權(quán)及禁止權(quán)，并在未獲得個人信息主體的明確同意下記錄和上傳用戶行為數(shù)據(jù)。

　　值得注意的是，已于2月1日正式生效的我國首個個人信息保護(hù)國家標(biāo)準(zhǔn) 《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》明確規(guī)定，個人信息獲得者在收集個人信息時，需“具有特定、明確、合法的目的”?；诖?，在收集前要采用個人信息主體易知悉的方式，向個人信息主體明確告知和警示如下事項(xiàng)：處理個人信息的目的；個人信息的收集方式和手段、收集的具體內(nèi)容和留存時限；個人信息的使用范圍、被收集后的個人信息保護(hù)措施、個人信息主體的投訴渠道；同時提醒個人信息主體提供個人信息后可能存在的風(fēng)險(xiǎn)和個人信息主體不提供個人信息可能出現(xiàn)的后果。且“只收集能夠達(dá)到已告知目的的最少信息”。而信息獲得者如需將個人信息轉(zhuǎn)移或委托于其他組織和機(jī)構(gòu)時，也需要向個人信息主體明確告知轉(zhuǎn)移或委托的目的、轉(zhuǎn)移或委托個人信息的具體內(nèi)容和使用范圍、接受委托的個人信息獲得者的名稱、地址、聯(lián)系方式等。
　　很明顯，360公司在個人信息的收集、加工、轉(zhuǎn)移、刪除等環(huán)節(jié)，明顯將行業(yè)的游戲規(guī)則拋諸腦后，一意孤行地進(jìn)行著暗箱操作。