中科院:360隱私泄露風險的技術研究報告

　　中科院回應360等隱私泄露報告：僅為內部交流材料

　　2012-11-23 來源: TechWeb

　　中科院回應隱私泄露報告：內部交流材料不代表官方意見(TechWeb配圖)

　　【TechWeb報道】11月23日消息，近日網上流出由中國科學院信息工程研究所下屬機構撰寫的一份《個人隱私泄露風險的技術研究報告》，報告稱 360瀏覽器、Hotmail、Gmail等軟件存在泄露隱私的風險。中科院信息工程研究所副所長孟丹在接受TechWeb連線時稱，中科院從未對外發布任何有關個人隱私泄露風險的報告，上述報告是研究所研究人員的內部交流材料，不代表中科院官方意見。

　　據南方都市報報道，中國科學院信息工程研究所日前主辦了一場主題為“隱私保護”的閉門學術研討會，同時發布了一份由中科院保密技術攻防重點實驗室研究撰寫的《個人隱私泄露風險的技術研究報告》。內容顯示，目前網民日常使用的許多網絡服務都存在泄露隱私的風險;國內外許多知名互聯網公司榜上有名，包括 360瀏覽器、微軟的Hotmail、谷歌的Gmail等。

　　該報道發布之后，360瀏覽器方面否認存在泄露隱私的風險，微軟與谷歌尚未就此做出回應。

　　對此TechWeb連線了中科院信息工程研究所副所長孟丹，他強調中科院從未對外發布任何有關個人隱私泄露風險的報告，這份報告是研究所研究人員在內部研討時的交流材料，“該材料屬于內部、非對外公開文件，不知道為什么會流到媒體手中”。

　　孟丹稱，上述報告以及觀點不代表中科院官方意見，同時也不會做正式文件報告刊發，“研究所是科研單位，不會與外界任何商業行為有合作或牽扯”。

　　前不久，科普作家方舟子在網絡與360展開口水大戰，指稱360瀏覽器侵犯用戶隱私。有消息稱，工信部已經叫停雙方口水戰，并介入調查。據孟丹透露，中科院信息工程研究所并未受到工信部有關此事的任何委托。

　　孟丹還向TechWeb表示，中科院信息工程研究所最早將于今天下午在官方網站發布公告，就此事做出回應。(恰克)

　　中科院：360隱私泄露風險的技術研究報告

　　360瀏覽器侵犯用戶隱私話題再次引人關注。據《上海青年報》11月23日報道，中國科學院信息工程研究所主辦的“隱私保護”學術研討會在京召開。會上一份由中科院保密技術攻防重點實驗室研究撰寫的《個人隱私泄露風險的技術研究報告》報告揭示：一直以安全為名的360瀏覽器在架構設計、運作原理方面竟然存在著三大隱私安全問題，將會給用戶安全帶來嚴重危害。

　　“這將會給用戶安全帶來嚴重危害”，《上海青年報》援引一位與會專家觀點稱。

　　此前，工信部曾公開宣布將對360安全問題展開調查，但目前尚沒有權威機構出臺令人信服的調查結果。中科院作為信息研究的專業機構，此次所出具的該項報告，或將成為推動該問題解決的重要依據。

　　《上海青年報》還從會上獲悉，中科院針對當前互聯網常用產品及服務的隱私保護問題進行了整體研究，涉及瀏覽器、即時通訊、電子商務、社區網站等多個類別。從記者輾轉獲得的報告原文來看，在瀏覽器隱私保護情況的研究章節里，中科院信息工程研究所研究人員對360安全瀏覽器進行了詳細的研究和分析，并歸納列舉出360安全瀏覽器存在的三大安全問題，其中包括： 收集用戶所打開過的瀏覽頁面地址、收集用戶在瀏覽器地址欄輸入的信息以及預留后臺端口，在用戶不知情的情況利用云端指令，在后臺執行《安裝許可協議》規定內容之外的功能等。

　　調查中，研究人員通過專業技術手段對整個軟件運行過程及環境進行了綜合測試，證實了360確實存在安全問題，并在實驗室進行了多次復現。研究人員在報告中舉例稱，當用戶在360安全瀏覽器地址欄中輸入一個完整的網址時，360瀏覽器會向360公司的特定服務器依次發送用戶的每一次輸入數據直至輸入完成，發送的信息包含了能夠確定用戶唯一性的ID，這可能會導致特定用戶的地址欄輸入以及瀏覽記錄容易被跟蹤和泄漏。另有分析顯示，“這些組件或以欺騙的方式被下載到電腦以實現360安全瀏覽器的某些未明示的功能，也可能造成用戶的電腦被惡意侵入”。

　　實際上，在過去數月，360安全軟件一直深陷安全及隱私泄漏漩渦，飽受來自網民、媒體、意見領袖和主管部門的質疑。知名打假人士方舟子也就安全問題對360軟件發出連番質疑，指稱360私自竊取用戶隱私、偽裝系統補丁、捆綁安裝軟件以及360通過“云控制”遠程操控用戶電腦等。盡管360方面并未正面回應這些問題和質疑，僅僅將其歸為“競爭對手迫害”，但層出不窮的真實案例，仍然引發大量用戶關注并卸載360，一些世界500強企業也內部通知禁用360全系產品。根據CNZZ最新發布的數據，自方舟子開始打假360以來， 360瀏覽器的市場份額下降了1.6%，保守估計流失用戶1000萬。

　　面對沸沸揚揚的“360隱私泄露門”， 10月25日，工信部新聞發言人、通信發展司司長張峰表示，工信部已經介入調查方舟子指控的奇虎360瀏覽器竊取用戶隱私一事，“如果查實確有違法違規行為，將依法予以嚴肅處理”。360方面隨即宣布將主動將產品送至國家質檢總局和工信部檢驗。

　　對于360的主動“送檢”， 互聯網威懾防御(IDF)實驗室創始人、安全專家萬濤認為作用不大。萬濤指出，360使用的是云端控制技術，單檢測桌面軟件很難檢測到問題，對整個過程與環境進行檢測評估才能更好地說明問題。

　　中國人民大學教授石文昌曾表示，如果安全軟件不遵守軟件安全機制設計的重要原則之一 — 最小特權原則(POLP，principle of least privilege)，而是利用特殊權限，進行非功能實現所必須的操作，其對系統權限的濫用將影響到用戶系統的信息安全。

　　相關與會專家表示，“根據此次中科院的研究報告，和之前社會各界對360軟件安全性的質疑，360公司以安全為名、行盜取泄漏用戶隱私之實的一系列行為，已經嚴重違反了工信部2011年第20號令頒布并于2012年3月15日實施的《規范互聯網信息服務市場秩序若干規定》中的相應條款”。

　　該《個人隱私泄露風險的技術研究報告》標明“V1.0”，發布者為“中國科學院信息工程研究所保密技術攻防重點實驗室”，發布時間是2012年11月。

以下為《個人隱私泄露風險的技術研究報告V1.0》的部分內容：

前言

　　隨著國內外個人隱私泄露事件的頻繁發生和對個人隱私保護的重視，人們越來越關注日常工作生活中計算機軟件、移動終端以及高技術帶來的個人隱私問題。中國科學院信息工程研究所保密技術攻防重點實驗室對當前常用軟件和終端產品的用戶隱私保護情況進行了初步調查，通過實驗研究發現了一些有關隱私保護存在的風險。本文主要從常用軟件、網絡服務、移動終端以及聲光電磁等四個方面介紹了實驗室的研究結果和發現。文中內容注重實例研究和數據再現，希望引起有關部門對個人隱私相關問題的關注。

　　本文得到了北京大學互聯網安全技術北京市重點實驗室的幫助。

　　1 終端常用軟件與用戶隱私保護

　　1.1網絡瀏覽器

　　許多網絡瀏覽器為了增強用戶體驗、提供個性化服務、發展定向廣告業務等目的，通常會在后臺收集用戶的網頁瀏覽記錄等個人信息上傳到服務器。然而許多收集用戶個人信息的行為是在用戶不知情的情況下進行的，或者所收集的信息超出了軟件《安裝許可協議》中進行了明確規定的范圍。

　　實驗室以360安全瀏覽器當前最新版本5.0為例，對瀏覽器的用戶隱私泄露問題進行了分析和研究，網絡瀏覽器中的隱私泄露威脅存在于以下幾個方面：

　　1)預留后門，植入代碼：一些瀏覽器在使用過程中會在用戶不知情的情況下在后臺執行《安裝許可協議》規定內容之外的功能，360安全瀏覽器在運行過程中約每5分鐘與服務端進行一次通信，并下載一個文件，如下圖所示，下載的文件為se.360.cn/cloud/cset18.ini，但是從數據流可以看出該文件實際上是一個PE文件，文件頭中標識的產品名稱為DataDll。

　　圖1-1

　　將該文件從數據流中提取出來得到一個dll文件，查看該文件的屬性，得到其文件說明為“360安全瀏覽器 安全網銀”。

　　圖1-2

　　從該文件中提取到一段Base64編碼的文本信息：

　　W3N0XQ0KY291bnQ9Mg0KW3N0MV0NCmlkPTENCnVybD1odHRwOi8vd3d3LmJhaWR1LmNvbS9zZWFyY2gvcmVzc2FmZS5odG1sKg0KW3N0Ml0NCmlkPTINCnVybD1odHRwOi8vdmVyaWZ5LmJhaWR1LmNvbS92Y29kZT8qDQpbdHJheW1zZ10NCnN0YXRpY3NpZD0zMQ0KY291bnQgPSAxDQp1cmwxPWh0dHA6Ly93d3cuYmFpZHUuY29tL3NlYXJjaC9yZXNzYWZlLmh0bWwqDQpbbWFpbl0NCmhrcmVzMj0xDQpjYmM9MQ0KW2NiY10NCnVybGNvdW50PTENCnVybDE9aHR0cDovL3d3dy5iYWlkdS5jb20vc2VhcmNoL3Jlc3NhZmUuaHRtbCoNCmNiY2NvdW50PTINCmMxPUJBSURVSUQNCmMyPUJEVVNT

　　經過解碼后的內容為：

　　[st]

　　count=2

　　[st1]

　　id=1

　　url=http://www.baidu.com/search/ressafe.html*

　　[st2]

　　id=2

　　url=http://verify.baidu.com/vcode?*

　　[traymsg]

　　staticsid=31

　　count = 1

　　url1=http://www.baidu.com/search/ressafe.html*

　　[main]

　　hkres2=1

　　cbc=1

　　[cbc]

　　urlcount=1

　　url1=http://www.baidu.com/search/ressafe.html*

　　cbccount=2

　　c1=BAIDUID

　　c2=BDUSS

　　由此可推測該DLL文件的功能與網銀無任何關系，而是跟搜索引擎百度相關可能是為了躲避Referer字段的檢查。這種行為雖然不涉及用戶隱私，但是具有欺騙性。

　　此外，360安全瀏覽器還會在用戶不知情的情況下定期從服務端下載和執行一個名為“ExtSmartWiz.dll”的動態鏈接庫。如果該動態鏈接庫被植入惡意功能或者不法分子利用域名劫持等方法對瀏覽器下載的“ExtSmartWiz.dll”文件進行惡意篡改，將會給用戶安全帶來嚴重危害。

　　2)收集用戶瀏覽記錄：很多瀏覽器會將用戶所打開的頁面地址上傳到服務器，以分析用戶的個人愛好或者統計網站的受歡迎度，從而在瀏覽器首頁更好地為用戶推薦個性化內容。這種行為也侵犯了用戶的隱私數據。下圖為當用戶使用360安全瀏覽器5.0訪問網頁的時候，每打開一個網頁之后都會向360的特定服務器發送一個POST請求，內容包含加密過的url信息。

　　圖1-3

　　3)收集瀏覽器地址欄輸入信息：當用戶在瀏覽器地址欄中輸入網址的時候，很多瀏覽器為了幫助用戶自動補全網址，會把用戶所輸入的內容上傳到服務器來。下圖為當用戶在360安全瀏覽器5.0的地址欄中輸入“10.105.240.57”時，瀏覽器會將該地址發送到sug.so.360.cn，并且發送時附帶的Cookie中會帶有具有用戶唯一性標志的guid值，這可能會導致特定用戶的地址欄輸入以及瀏覽記錄被跟蹤和泄漏。

　　圖1-4

　　下圖所示為當用戶在360安全瀏覽器5.0的地址欄中輸入“weibo.com”的過程中，每輸入一個字符，瀏覽器就會向 sug.so.360.cn發送當前瀏覽器地址欄中的內容(即“w”、“we”、“wei”、“weib”、“weibo”、“weibo。”、 “weibo.c”、“weibo.co”、“weibo.com”)。

　　圖1-5

中科院《個人隱私泄露風險報告》曝光

2012年11月23日   南方都市報

南都制圖 劉寅杉

　　360、谷歌等名列其中，360稱所有軟件均遵循“四不三必須”準則

　　昨日，南都記者獨家獲悉，中國科學院信息工程研究所主辦了一場主題為“隱私保護”的閉門學術研討會，同時發布了一份由中科院保密技術攻防重點實驗室研究撰寫的《個人隱私泄露風險的技術研究報告》(下稱報告)。內容顯示，目前網民日常使用的許多網絡服務都存在泄露隱私的風險；國內外許多知名互聯網公司榜上有名，包括360瀏覽器、微軟的Hotmail、谷歌的Gmail等。

　　多個互聯網應用名列其中

　　據內部人士透露，此次中科院聯合了北京大學互聯網技術北京市重點實驗室(下稱實驗室)共同針對當前互聯網常用產品及服務的隱私保護問題進行了整體研究，涉及瀏覽器、即時通訊、電子商務、社區網站等多個類別。

　　報告稱，中科院信息工程研究所研究人員經過研究和分析，歸納列舉出360安全瀏覽器存在的三大安全問題，其中包括：收集用戶所打開過的瀏覽頁面地址、收集用戶在瀏覽器地址欄輸入的信息以及預留后臺端口，在用戶不知情的情況下利用云端指令，在后臺執行規定內容之外的功能。

　　在南都記者獲得的部分報告原文內容中，實驗室以360安全瀏覽器最新版本5.0為例，對瀏覽器的用戶隱私泄露問題進行了技術分析和研究。發現瀏覽器在使用過程中，會在用戶不知情的情況下在后臺執行《安裝許可協議》規定內容之外的功能。這可能涉及隱私泄露。

　　奇虎360有關人士接受南都記者采訪時曾表示，360的所有軟件產品均將遵循“四不三必須”準則。“四不”是指：不該看的不看；不該傳的不傳；不該存的不存；不該用的不用。“三必須”是指：一切行為必須明示；必須經過用戶許可；必須對收集的用戶個人信息負責。

　　隱私泄露范圍廣、影響大

　　按照報告內容，除以360瀏覽器為代表的網絡瀏覽器外，以Hotmail和Gmail為代表的郵箱業務，Skype為代表的即時通信軟件等均存在在用戶不知情的情況下，泄露隱私的問題。至南都記者發稿為止，谷歌等相關企業均未作出回復。

　　早在兩年前，有關谷歌G m ail的用戶隱私泄露問題就已見諸報端，但發生地在美國本土。當時據外媒報道，有黑客設計過一個網站，用戶只要登錄過谷歌帳戶(如G m ail)，然后再訪問該網站，那么G m ail用戶的電子郵箱地址等信息就會被泄露。當時該黑客只是以試驗的性質抓取該漏洞并設計網站，并把整個過程曝光，以提醒谷歌，但未獲得回復。直至問題越鬧越大，谷歌才發表聲明稱，“該問題存在于G oogleA pps腳本A PI(應用編程接口)中，如果用戶訪問過特定網站，那么第三方可以在未經用戶許可前提下向用戶發送電子郵件。”并表示已經迅速修復該問題，阻止了存在問題的網站。不過按照此次中科院發布的報告，谷歌類似的隱私泄露漏洞尚未被完全堵截。

　　報告對保護網民信息安全有益

　　“這是國內首次有權威科研機構出面證實多個互聯網應用存在嚴重隱私泄露問題，對于保護網民信息安全、規范行業發展等方面具有重要意義。”互聯網戰略發展研究中心首席經濟學家、互聯網周刊主編姜奇平表示，用戶必須意識到，他們在網絡上的隱私保護狀況現在已經急劇惡化。咨詢公司戰國策首席分析師楊群則認為，用戶隱私收集就像是互聯網行業內的一層窗戶紙，很多人知道，但不知道如何應對，且因此出現實際損失的人也不多。然而，此次報告的內容被曝光，就像捅破了最后一道防線，可能會演變為全社會關注的問題。

　　采寫：南都記者 方南

× 烏有之鄉 WYZXWK.COM

您的打賞將用于網站日常運行與維護。
幫助我們辦好網站，宣傳紅色文化！

歡迎掃描下方二維碼，訂閱烏有之鄉網刊微信公眾號