【樓主】zh639117762012-11-27 08:42
» IDF報告全文:360安全衛(wèi)士涉嫌竊取用戶隱私主頁 > 文章 / 菊花供應商 / 發(fā)布于 2012年 11月27日(星期二) 0時21分 / 瀏覽:4369 評論:79 收藏:5 / 舉報文章收藏5私信評論79分享曾經(jīng)有一把菜刀,360和周總拿著它砍向了流氓軟件,而如今這把菜刀砍向了我們。曾經(jīng)有很多人面對“侵害”,有心殺賊,無刀殺敵,我希望更多的程序員都出來,為互聯(lián)網(wǎng)的公平和正義提供更多的“菜刀”。IDF互聯(lián)網(wǎng)威懾防御實驗室發(fā)布日期:2012年11月25日IDF互聯(lián)網(wǎng)威懾防御實驗室是一個民間信息網(wǎng)絡安全愛好者的技術俱樂部機構,骨干成員由相關領域的專業(yè)人士、技術人員和業(yè)余愛好者共同組成。IDF實驗室的研究方向主要集中在:互聯(lián)網(wǎng)威脅發(fā)展趨勢、終端安全管理、無線網(wǎng)絡通訊安全、僵尸網(wǎng)絡等技術領域和產(chǎn)品研究上。IDF實驗室面向廣大信息網(wǎng)絡安全愛好者提供計算機安全知識普及教育、參與對業(yè)界相關領域產(chǎn)品、發(fā)展動態(tài)進行客觀的、獨立的技術、市場研究與評估,為民間信息網(wǎng)絡安全愛好者成長為專業(yè)安全技術從業(yè)人員提供平臺和橋梁。目錄一、檢測背景................................................................. 4二、 檢測目的............................................................... 4三、 關于360公司隱私保護......................................... 4四、目標檢測軟件......................................................... 7五、檢測環(huán)境及工具...................................................... 8六、360安全衛(wèi)士隱私泄露檢測..................................... 81、檢測環(huán)境準備............................................................. 8a、系統(tǒng)時間設置............................................................. 8b、安裝360安全衛(wèi)士....................................................... 9c、關閉自動升級和云安全計劃..................................... 9d、修改文件夾選項.......................................................... 9e、設置Temp目錄“安全”選項卡................................. 102、用戶信息搜集及上傳檢測.......................................... 10七、360安全衛(wèi)士涉嫌“搜集用戶隱私”檢測結(jié)果....... 14八、附錄一.......................................................................... 171、@Royflying原帖與本報告行為檢測項對比.................. 172、 《一把菜刀:360搜集隱私程序員級分析》............. 18九、 附錄二......................................................................... 221、 修訂信息.................................................................... 222、 致謝................................................................................ 22一、檢測背景2012年10月12日,方舟子轉(zhuǎn)發(fā)了新浪微博網(wǎng)友 @Royflying 的爆料帖《一把菜刀:360搜集隱私程序員級分析》質(zhì)疑360安全衛(wèi)士搜集用戶隱私。此帖指出“360安全衛(wèi)士頻繁上傳大量的信息到服務器,會將大量用戶使用其他軟件的信息上傳到服務器,用戶無法知道上傳信息的詳情,也無法阻止這些信息的上傳。這些信息將會暴露用戶的生活習慣、作息時間,以及比較私密的軟件操作!倍、檢測目的該報告的目的是基于新浪微博用戶 @Royflying 所發(fā)微博《一把菜刀:360搜集隱私程序員級分析》中所描述內(nèi)容及測試方法做的二次驗證檢測,旨在證實其微博中所描述的360安全衛(wèi)士涉嫌搜集竊取用戶隱私的內(nèi)容、檢測現(xiàn)象、檢測手段是否準確、真實、不可抵賴,以驗證360安全衛(wèi)士是否存在在對用戶宣傳承諾的同時,搜集、竊取用戶隱私的問題,從而威脅普通用戶信息安全及系統(tǒng)安全。三、關于360公司隱私保護本文檔摘取《360用戶隱私保護白皮書2.0版》(在2010年10月發(fā)布的第一版基礎上,增加了移動互聯(lián)網(wǎng)產(chǎn)品的內(nèi)容:中部分內(nèi)容,以陳述360公司對于個人隱私信息以及360安全軟件上傳信息的聲明。四、目標檢測軟件360安全衛(wèi)士:版本:v7.3.0.2003l安裝包大。17.9 MBMD5:8FB5774B68133D6CAAC3A2860187BE6F下載地址:如果不能下載或者MD5不匹配,則說明360已經(jīng)替換該版本安全衛(wèi)士安裝包,請從其他地方搜索下載,注意數(shù)字簽名時間戳要在2010年11月8日之前。五、檢測環(huán)境及工具虛擬機環(huán)境:VMware Workstation 版本:8.0.5下載地址:操作系統(tǒng):Windows XP Professional SP3檢測工具:Wireshark下載地址:六、360安全衛(wèi)士隱私泄露檢測我們通過如下操作檢測360安全衛(wèi)士 v7.3.0.2003l是否存在有搜集用戶信息并上傳到服務器的行為,旨在驗證《一把菜刀:360搜集隱私程序員級分析》帖子中所描述內(nèi)容是否真實、準確、可信。1、檢測環(huán)境準備為避免其他軟件或系統(tǒng)干擾,此處選擇在虛擬機環(huán)境下安裝Windows XP SP2操作系統(tǒng),文件系統(tǒng)為NTFS。向系統(tǒng)內(nèi)拷貝測試用常規(guī)軟件安裝程序。a、系統(tǒng)時間設置調(diào)整系統(tǒng)時間到2010年11月11日,以真實還原該版本安全衛(wèi)士軟件行為。若當前系統(tǒng)時間離數(shù)字簽名時間2010年11月8日較遠,會干擾檢測過程及檢測結(jié)果。b、安裝360安全衛(wèi)士在安裝360安全衛(wèi)士 v7.3.0.2003l的過程中須斷開網(wǎng)絡連接,可禁用網(wǎng)卡或斷開網(wǎng)絡連接,虛擬機中可以選擇設置斷開網(wǎng)絡連接,以防止360云計劃對配置文件進行更新。c、關閉自動升級和云安全計劃360隱私保護中包含“可以隨時選擇退出‘360云安全計劃’,停止360安全軟件上傳電腦信息!币痪洌瑸楸苊360云安全計劃干擾此次檢測過程,此處設置取消“加入‘云安全計劃’”,并關閉自動更新,包括木馬庫。為檢測360安全衛(wèi)士 v7.3.0.2003l信息記錄情況,可根據(jù)個人習慣安裝部分常規(guī)軟件,如7z、Notepad++、hash-1.04、輸入法等。d、修改文件夾選項選擇關閉簡單文件共享,顯示所有文件,顯示系統(tǒng)文件,顯示文件擴展名。e、設置Temp目錄“安全”選項卡選擇文件夾“%homepath%Local SettingsTemp”,修改temp文件夾的安全屬性(需NTFS文件系統(tǒng)),添加everyone用戶并關閉everyone的刪除權限。以保證任何軟件或程序在該文件夾中創(chuàng)建的臨時文件不會被刪除。2、用戶信息搜集及上傳檢測選擇運行7z、Notepad++程序,然后打開“%homepath%Application Data360safeLogInfo”目錄,查看其中的log文件,發(fā)現(xiàn)該路徑下存在以360_formal_***命名的log文件,查看該文件,其內(nèi)容包含有剛剛打開7z、Notepad++操作記錄。如下圖所示,log文件中包含操作7z、Notepad++的操作日期、時間及被操作軟件路徑。接下來,檢測以上生成的log文件是否被通過某種方式上傳到服務器。運行抓包軟件,并打開“%homepath%Application Data360safeLogInfo”目錄,其中的360_formal_1289299900.log文件已經(jīng)不在,并重新生成了個360_formal_***文件,同時通過查看抓包記錄可以看到之前的log文件被上傳到了遠程服務器。瀏覽“%homepath%Local SettingsTemp”目錄是否有zip文件生成,可以看到有一個5f3809b8991f93bf284a190eab69447a.zip文件(通過監(jiān)測,該文件平均30分鐘生成一次)。我們之所以能看到此文件,是因之前對此文件夾做了權限設置。log所在文件夾沒有做權限設置,在360安全衛(wèi)士 v7.3.0.2003l將log上傳后自動刪除該文件。將此zip解壓出來得到一個5f3809b8991f93bf284a190eab69447a沒有后綴的文件,可以用之前安裝的Notepad++打開,也可以單擊右鍵選擇記事本打開?梢钥吹綁嚎s包中的內(nèi)容和之前檢測到的log文件內(nèi)容一致,如下圖所示。查看抓包記錄,如下圖?梢360 安全衛(wèi)士 v7.3.0.2003l將之前的log文件打包并且未經(jīng)加密又傳了一次。在抓包記錄中查找DNS解析記錄,可找到61.55.184.71的IP地址是由域名up.f.#解析。七、360安全衛(wèi)士涉嫌“搜集用戶隱私”檢測結(jié)果通過以上驗證,360安全衛(wèi)士 v7.3.0.2003l在未提醒用戶的情況下,將搜集到的軟件操作信息上傳到了360公司的服務器,并隨后刪除由此產(chǎn)生的臨時記錄文件。根據(jù)《360用戶隱私保護白皮書》,360安全衛(wèi)士的以上行為特征未遵守《360用戶隱私保護白皮書》概述部分中的條款:通過以上檢測結(jié)果,360安全衛(wèi)士 v7.3.0.2003l所搜集用戶軟件操作信息,對用戶隱私造成的風險如下:若用戶運行某一程序,360安全衛(wèi)士 v7.3.0.2003l會把程序所在路徑搜集并未經(jīng)加密上傳至360服務器。若360公司所存放信息的數(shù)據(jù)庫泄露或傳輸數(shù)據(jù)被黑客截取進行社工分析,可造成用戶的信息泄露。根據(jù)由工信部直屬的中國軟件測評中心牽頭,并聯(lián)合30多家單位起草的《信息安全技術、公共及商用服務信息系統(tǒng)個人信息保護指南》(草案)(中部分條例:根據(jù)以上條例,360安全衛(wèi)士v7.3.0.2003l對用戶信息的處理未遵守其中的用戶知情權、選擇權及禁止權,并在未獲得個人信息主體的明確同意下記錄和上傳用戶行為數(shù)據(jù)。截至本報告發(fā)布日期,《信息安全技術、公共及商用服務信息系統(tǒng)個人信息保護指南》尚未正式發(fā)布,且我國尚無正式頒布的個人隱私法,IDF實驗室僅根據(jù)以上檢測結(jié)果,在缺乏相關法律專家的專業(yè)意見與指導下,尚不能根據(jù)此檢測報告結(jié)果驗證推斷360安全衛(wèi)士 v7.3.0.2003l已經(jīng)涉嫌竊取用戶隱私。八、附錄一1、@Royflying原帖與本報告行為檢測項對比根據(jù)@Royflying 對360安全衛(wèi)士 v7.3.0.2003l的檢測項,以及我方對該版本安全衛(wèi)士的行為檢測項,做如下檢測項目對比:檢測對比表(√:有;×:無)2、《一把菜刀:360搜集隱私程序員級分析》原文來源于網(wǎng)絡(, 文中言論不代表IDF實驗室觀點。一、360安全衛(wèi)士全面記錄用戶使用其他軟件的行為信息正常安裝完360安全衛(wèi)士后,進程防火墻會自動啟動,并通過驅(qū)動層Hook所有運行程序所需的系統(tǒng)API,運行任意程序時攔截,然后通過appd.dll記錄執(zhí)行程序時間、身份ID、觸發(fā)程序名、觸發(fā)程序版本信息、執(zhí)行程序名、執(zhí)行程序版本信息等。記錄后通過ipcservice.dll將日志保存為C:Documents and Settings。上傳完成后該壓縮包被立即刪除,從上傳到刪除的間隔時間極短,如果沒有專業(yè)的手段,很難看到被上傳的文件是什么內(nèi)容。這些信息的上傳非常頻繁,平均約30分鐘就上傳一次。直到達到配置文件規(guī)定的收集次數(shù)才停止收集(默認收集100次),并等待下一次收集的新指令。另外,用戶不知情也不能取消這類收集行為,他們無法知道收集的大致內(nèi)容,也沒有任何手段取消這種頻繁上傳的行為。即使取消加入‘云安全計劃’,仍然不能避免這些信息被上傳。三、360在云端遠程控制收集行為,指令下達即實時又隱蔽,取證非常難在分析中,我還發(fā)現(xiàn)了360具有很強的實時遠程控制能力。通過更新云端的配置文件,修改幾個參數(shù)就可以控制360安全衛(wèi)士是否收集用戶信息,以及精確到收集上報多少次后自動停止。1. 360安全衛(wèi)士通過配置文件控制是否收集用戶信息以及收集的次數(shù)等在360安全衛(wèi)士的安裝目錄的ipc子目錄下,有一個360hips.ini的配置文件。該文件結(jié)構如下:
作者:土豪劣紳2012-11-27 09:03
火前留名
作者:xuxu_05062012-11-27 09:04
又來了
作者:sohufisho2012-11-27 09:07
劉明貼目測一大波360黑接近中
作者:I回來了2012-11-27 09:10
我就是喜歡360方便,簡潔,裝的人多我又不需要懂那么多反正360好用不嘛不嘛人家就是要用360
作者:hankyin2012-11-27 09:12
我這個
微民網(wǎng)號是為360而生嗎……
作者:wormmao2012-11-27 09:16
機構名字起的那么拉風……結(jié)果是個民間愛好者組成的俱樂部機構,坑爹啊……
作者:konami_sky2012-11-27 09:23
劉明貼目測一大波360黑接近中