中科院曝360窃取用户隐私三种手法 网友惊呼快卸载

近日，一份由中科院保密技术攻防重点实验室研究撰写的内部交流材料《个人隐私泄露风险的技术研究报告》，对360浏览器三大隐私安全问题进行了揭露。其中包括： 收集用户所打开过的浏览页面地址，收集用户在浏览器地址栏输入的信息以及预留后台端口，在用户不知情的情况利用云端指令，在后台执行《安装许可协议》规定内容之外的功能等。这份报告一出炉，就引起了网友的恐慌，网友ROC驴哥随即发表微博提醒粉丝“360确实是流氓啊，亲们赶紧卸载吧。”

研究人员在报告中称，当用户在360安全浏览器地址栏中输入一个完整的网址时，360浏览器会向360公司的特定服务器依次发送用户的每一次输入数据直至输入完成，发送的信息包含了能够确定用户唯一性的ID，这可能会导致特定用户的地址栏输入以及浏览记录容易被跟踪和泄漏。另有分析显示，“这些组件或以欺骗的方式被下载到电脑以实现360安全浏览器的某些未明示的功能，也可能造成用户的电脑被恶意侵入”。

事实上， 一直以来，360产品在架构设计、运作原理方面就存在着严重的隐私安全问题，并饱受来自行业、网民、媒体、意见领袖和主管部门的质疑。
搜集浏览记录 恶意上传

据中科院报告显示，360浏览器在使用过程中会在用户不知情的情况下在后台执行《安装许可协议》规定内容之外的功能，360安全浏览器在运行过程中约每5分钟与服务端进行一次通信，并下载一个文件，而此文件与用户需要安装的软件无任何关系，通过伪装成其他文件名的方式躲避检查。此外，360安全浏览器还会在用户不知情的情况下定期从服务端下载和执行一个名为“ExtSmartWiz.dll”的动态链接库。如果该动态链接库被植入恶意功能或者不法分子利用域名劫持等方法对浏览器下载的“ExtSmartWiz.dll”文件进行恶意篡改，将会给用户安全带来严重危害。
而事实上中科院指证并不是空穴来风。 此前，不少网友反映，自己电脑里安装的360浏览器在开启卡巴斯基“网页反病毒”模式时，浏览网页速度会很明显的变慢，而在此模式下使用其他浏览器速度变化并不像360浏览器那么明显，因此该网友怀疑360浏览器在上传自己的浏览数据，窥探自己的隐私，以致浏览速度变慢。

对此，卡巴斯基方面做了专门的调查。通过测试发现360安全浏览器运行同时还进行如下三项操作：1、识别网吧中的用户是否连接了互联网；2、探测是否用户也在使用其它的浏览器，以及浏览器的默认配置；3、记录访问的历史URLs数据。卡巴斯基还透露，360浏览器会将上述内容数据收集并且上传到360自己的服务器上。
预留后门 泄漏隐私

今年9月24日，山东电视台《调查》栏目播出《360与百度大战》一片，报道了360浏览器恶意上传隐私壶。节目中，用户表示通过360浏览器能够搜到其他人的后台，而且后台上留有对方的账户名和密码，如果她有坏心完全可以轻易登录其他 人后台。技术人员表示，Robots协议就像一扇大门，而360忽略这个协议的做法，就像不管这个大门有没有，它就直接进入你家了。

据了解，360浏览器存在安全隐患并上传用户隐私的恶意行为早已有多家权威机构和媒体曝光过。比如，国内知名网络安全漏洞平台 “乌云”早在8月底就曝光称，360的搜索引擎能够探测到大量厂商的网站后台管理入口，部分厂商的用户名和数据库存在泄露风险。

360泄漏隐私的行为，祸害的不是别人，而却恰恰是广大用户。一位网名为“Mocob”的网友表示，“穿越了啊，这不是我发的，这是朋友用360浏览器之后出现了账号穿越。”网友“沈掐掐___August”哭诉“360你就给我乱发微博吧。”有这样遭遇的网友不计其数。自“方周”大战以来，360浏览器串号窃取隐私问题被方舟子踢爆，众多同类的申诉如雪片般飞来。近几日，网友对于360浏览器的投诉更加频繁。世华财讯网外汇分析师向坤10月19日投诉，近日使用360浏览器登陆新浪微博时常崩溃(IE登陆正常)。他的粉丝则干脆的在回复中建议他：卸载360浏览器就好了。
泄漏事件大爆发

2010年底，在多个安全论坛、贴吧，以及安全讨论QQ群中，有人反映Google upload.360safe.com可以下载大量信息。包括用户的邮箱、各种网站登录账户及其密码、网上行为路径、搜索关键字、身份信息、姓名、住址、手机号、企业、机关的内网信息等等隐私资料和账户信息。

显然，Google收录的内容只占泄露数据的一部分。至今除了360没人知道究竟有多少用户资料落入了第三方手中，仅从互联网上公布的案例，就有奇瑞汽车的某工厂出口零件到货计划、中国长江三峡集团公司的2010年度干部工作情况进行考核的通知和2011年预算、安徽蒙城1.7万名小学生个人信息、某大型物流公司的人力资源详表、广西某物流公司的内部管理系统、某用户去年12月8日至20日间访问QQ空间、淘宝购物等在内的网上行为和账户密码详细记录，等等。

这种泄密的危害性毋庸置疑。我们可能因此失去自己的网络身份、丢失真金白银买回来的虚拟财产、甚至泄露重大商业机密。有安全专家通过360在2010年底曝出的这个重大漏洞找到携程某代理商的身份信息并它的携程管理后台，并过滤出几百个密码文件。他感叹道：“不得不说，360的这个漏洞足以让黑客把中国互联网的初级用户一夜之间洗劫一空……”

由此可见，除了360安全浏览器，360其他产品同样存在这隐私安全问题。知名打假人士方舟子也就安全问题对360软件发出连番质疑，指称360私自窃取用户隐私、伪装系统补丁、捆绑安装软件以及360通过“云控制”远程操控用户电脑等。尽管360方面并未正面回应这些问题和质疑，仅仅将其归为“竞争对手迫害”，但层出不穷的真实案例，仍然引发大量用户关注并卸载360，一些世界500强企业也内部通知禁用360全系产品。