奇虎360暗藏后门盗取用户隐私 黑匣子之谜全面解读
文章导读
奇虎360暗藏后门盗取用户隐私 黑匣子之谜全面解读。360安全卫士对用户在电脑上进行软件操作、文档操作等所有操作举动均秘密进行监视、记录,然后进行压缩后上传至云端服务器;过去,上传的过程为明文上传,这对用户的隐私带来非常严重的威胁,在经历过几次大的泄密事件后,目前上传文件已经加密。
《每日经济新闻》记者注意到,在这封举报信中,独立调查员直接斥责道:“奇虎360公司的 ‘360安全浏览器’暗藏‘后门’,是用户系统安全和信息安全的严重潜在威胁”。
他举证说,360安全浏览器实为C/S架构木马系统的客户端,服务器群是se.360.cn(云架构,IP地址不定)。浏览器每隔5分钟即向服务器请求新的“指示”。新的指示伪装成Ini(纯文本文件类型)发出,实际上是DII文件(Windows可执行程序库或资料库)等。
此事一石激起千层浪。不过,具有挑战的是,独立调查员的分析结果仅仅是网络分析,是“后门”机制的初步证据和技术推断,而非直接的铁证。正是因为这样,360开始在网络上对其进行质疑、攻击,甚至嘲讽。
“他们以为我只会网络抓包呢!”独立调查员表示。于是,为了做实360的后门机制,他决定反向分析浏览器本身的程序库,并详细分析出“后门”机制的内部执行流程。
然而,这并非一件容易的事情。“因为没有软件源程序、更没有设计文档,所以分析难度相当大。给你个软件,只能进行其公开可见的操作,而内部运作却完全是个黑洞。”独立调查员表示。
源程序(源代码)自然没有。而要通过反向工程来破解,难度相对较高,也非常浪费时间。何况360浏览器软件规模不小,而且还有很多内置的扩展程序。
“我首先用排除法把扩展组件挨个干掉,我删掉一个扩展组件,如果后门机制还在,说明与这个扩展组件无关。”独立调查员最开始的直觉是后门应该在扩展程序里面,因为主程序要送检,但是当独立调查员把可见的扩展程序全部删掉后,后门还在,于是他开始删(对普通用户)不可见的扩展组件。
“通过排除法,最后确认是扩展组件SmartWiz在搞鬼。删掉它以后,浏览器就安静了,那个5分钟一轮的上传下达活动消失了。”
不过,还没有结束。为了进一步查明360后门真相,独立调查员还需要反向编译出汇编代码并跟踪测试。
通过一系列技术过程,独立调查员掌握了360浏览器在SmartWiz整个组件里与360服务器间建立通信、下载、临时存储、加载执行、删除(销毁证据)的流程,同时也知道了其时钟控制调度机制(5分钟间隔定时器)。
360后门的安全之殇/
360安全浏览器设计出来的后门,恰恰给用户带来了极大的不安全。
为了让用户知道这个后门的恶劣程度,一直涉足互联网安全工作的腾讯集团副总裁曾宇,对没有后门的浏览器的重要性做了解答。
一般个人用户的电脑中,90%以上为windows系统,这套系统与互联网之间的联系,是需要浏览器来实现的,同时,因为浏览器的闭环作用
(可以理解为没有缝的鸡蛋壳,除非用户特别授权),其也是windows系统与互联网之间的天然屏障,任何来自于其他云端的指令等,都不会穿透这层保护而到达windows系统。这样,用户电脑中的windows系统得到最好的保护,所有执行的指令,都是来自于用户自己。
而IDF互联网情报威慑防御实验室创始人万涛则对浏览器后门做了解读。他说,被称作360“安全”的浏览器,却有一个特殊的资源文件,这个资源文件硬生生地将这个蛋壳打开了一条缝,而且是一条用户看不到的缝。
通过这个后门,360浏览器可以根据监视用户电脑操作过程中出现的情况,向360云安全中心发出请求,360云端的后门服务体系根据请求,给出相应的DLL,即windows可执行程序库。这个DLL通过360浏览器的后门,直接进入用户的windows系统。
此时,这个DLL好生了得,它甚至已不受浏览器的控制,它在用户windows系统中可做的事情包括但不限于:
获取用户的文件,并上传到云端;
读写、增删用户的文件;
监听用户通讯;
更改windows系统的注册表或重要的设置参数;
悄悄卸载竞争对手的产品,等等。
同时,这个DLL还可以通过这个后门,直接对互联网发出指令,包括但不限于:
自动从360服务器下载软件来安装或运行;
代替用户直接进行电子商务操作;
释放木马或病毒、创建常驻系统的服务,等等。
360是否做了这些呢?如果做了,对其自身又会有怎样的价值呢?会对行业、用户带来怎样的伤害呢?没有人知道答案。
“搞清楚这些细节后,我就着手重现后门机制的运作,让本来不可见的过程变得可见,以做可视化演示,让大家不仅能感知而且能 ‘看到’360暗设的这道‘后门’。”独立调查员表示。
在他看来,360那个后门每5分钟都会找360服务器下载一个DLL并加载执行,但它是个后门,隐蔽性第一,因此DLL无论如何不会现身,不存在弹出对话窗口或消息框,因此需要给它模拟一个测试环境。
“通过在本地架设DNS服务,劫持360.cn的域名解析,把我的机器伪装成360的服务器,然后那个注入浏览器的DLL不就由我自由控制了么?”独立调查员表示,通过编一个只要被加载执行就马上弹出消息框的DLL,拿自己写的DLL注入给360浏览器,这就让360浏览器的后门机制的运行完全可见了。
就这样,浏览器果然如预期的那样,把独立调查员在DLL里面写的消息框给弹出来了。
