奇虎360暗藏后门盗取用户隐私 黑匣子之谜全面解读

       360绿色网站的安全谎言：“偷梁换柱”浸润电商网银安全体系/

　　2月6日，360官网上一条 “网购首选，3亿用户的共同选择”的广告悄然上线。打开这条广告链接，以“网购安全”为主题的新款“360安全浏览器”赫然在目。

　　据《每日经济新闻》记者获得的360内部信息，360将借今年的“3·15”活动，大力推动与国内电商企业的合作，以将360安全浏览器植入电商领域。这则推广广告，正是这一步骤的前奏曲。

　　据记者调查，360两年前开始布局电子商务安全领域，其最先打出的 “安全产品”是 “网银无忧”、“地址栏铭牌”，即360浏览器主推的“绿色网站认证”。

　　360向人们传递的信息是，“360绿色网站认证”可以确保用户使用网银以及电子商务交易安全。

　　众所周知，电子商务的交易安全，尤其是网银，一直是网民、乃至整个社会焦点关注的问题之一。欧美、日本等国家的网银安全体系非常复杂与发达，而国内的网银体系，也是在小心设想、小心求证的前提下，一步步地展开。

　　那么，360是否真的具备这个能力——取代网银服务提供者身份验证体系，由自身来充当网银“保镖”呢？

　　独立调查员怀疑360公司是否具备这个能力。于是，他进行了如下实验，以了解360绿色网站认证机制：

　　在本机模拟，将招行网银域名劫持到IP为50.63.127.126(xliar.com)的网站，并在目标服务器上构建相应目录体系和登录页文件，然后使用360安全浏览器访问招行大众版登录页，从而进入伪装的招行网银页面。

　　360网购保镖自动检测招行运行环境，几秒钟后完成检测，报告“本次检测未发现风险，现在可以放心网购了！”

　　此时浏览器地址栏铭牌显示为“招商银行”，点击后弹出“通过绿色网站认证”，披着“招行网银”外衣的劫持网址，即被360认证为招行官方网站。

　　而同样的操作，使用IE浏览器访问时，IE浏览器地址栏则会以非常显眼的方式告知用户“（网站数字）证书错误”，点击错误信息可知，该网站证书不属于招商银行网站。

　　事实上，用国际主流的浏览器均会弹出类似的错误提醒警示，用户收到信息后自然会停止交易、避免损失。

　　这意味着，如果一家诈骗网站通过域名劫持招商银行网站，所谓的“360绿色网站认证”并不能有效执行网银保镖的辨识功能，进行安全认证。

　　360安全浏览器的安全检查能力为什么会如此之低呢？

　　据 《每日经济新闻》记者了解，目前国际主流的认证机构为VeriSign，包括中国工商银行、中国建设银行、中国银行、中国农业银行均采用该机构认证。招商银行网页所显示的，也正是该机构的认证，这也作为网上银行安全的基本保证而得到公认。

　　而独立调查员演示的证据显示，360浏览器直接屏蔽认证机构VeriSign基于加密体系的可信认证，将其替换成了360绿色网站认证。

　　独立调查员提醒网购者，应信任银行网站自身的安全证书，并在整个交易过程中关注地址栏域名和安全证书中的域名是否一致，以及其根域名是否与官方域名一致，切勿轻易信任和依赖360的“绿色网站认证”。

　　独立调查员认为，这又是另一起360“破坏性创新”的典型案例：“一点技术含量也没有的网站身份认证，竟然可以公然取代国际上通行的网上银行安全认证体系。这就是360的非创新型破坏。”

　　然而，对于类似公然挑衅国际准则的行为，为什么监管部门可以坐视不管呢？

　　可以预想的是，一旦360大规模启动“各大电商推荐安全购物使用360浏览器”活动，人们的网上购物均要依赖于 “360绿色网站认证”，360收获的将是又一次360式“癌性扩张”，而中国的网银体系又将会面临怎样的可怕变局？

　　移动圈地：“非创新型”破坏或止步于苹果？/

　　在360的2012年年会上，360董事长周鸿祎对员工指出：“我认为未来两年将决定整个无线互联网的市场格局……在过去的一年，360手机卫士用户量突破2亿，360手机助手的用户量也突破了1亿，成为360在无线互联网上的两个支柱。但两根柱子支撑不了一个房子，我希望各个团队在2013年会有新的产品能够脱颖而出，包括很多PC的产品也可以寻找在无线上的发展机会。很简单，未来不会再有无线互联网公司了，因为每个公司都必须是基于无线互联网的；也不会有PC产品部、无线产品部的区分，因为以后所有产品都会在PC和移动终端上打通，而没有无线互联网策略和产品的公司将会被淘汰。”

　　这段讲话基本上代表了360近期在移动端发展与布局的方向。