中科院回應(yīng)360等隱私泄露報告:僅為內(nèi)部交流材料
2012-11-23 來源: TechWeb
中科院回應(yīng)隱私泄露報告:內(nèi)部交流材料不代表官方意見(TechWeb配圖)
【TechWeb報道】11月23日消息,近日網(wǎng)上流出由中國科學院信息工程研究所下屬機構(gòu)撰寫的一份《個人隱私泄露風險的技術(shù)研究報告》,報告稱 360瀏覽器、Hotmail、Gmail等軟件存在泄露隱私的風險。中科院信息工程研究所副所長孟丹在接受TechWeb連線時稱,中科院從未對外發(fā)布任何有關(guān)個人隱私泄露風險的報告,上述報告是研究所研究人員的內(nèi)部交流材料,不代表中科院官方意見。
據(jù)南方都市報報道,中國科學院信息工程研究所日前主辦了一場主題為“隱私保護”的閉門學術(shù)研討會,同時發(fā)布了一份由中科院保密技術(shù)攻防重點實驗室研究撰寫的《個人隱私泄露風險的技術(shù)研究報告》。內(nèi)容顯示,目前網(wǎng)民日常使用的許多網(wǎng)絡(luò)服務(wù)都存在泄露隱私的風險;國內(nèi)外許多知名互聯(lián)網(wǎng)公司榜上有名,包括 360瀏覽器、微軟的Hotmail、谷歌的Gmail等。
該報道發(fā)布之后,360瀏覽器方面否認存在泄露隱私的風險,微軟與谷歌尚未就此做出回應(yīng)。
對此TechWeb連線了中科院信息工程研究所副所長孟丹,他強調(diào)中科院從未對外發(fā)布任何有關(guān)個人隱私泄露風險的報告,這份報告是研究所研究人員在內(nèi)部研討時的交流材料,“該材料屬于內(nèi)部、非對外公開文件,不知道為什么會流到媒體手中”。
孟丹稱,上述報告以及觀點不代表中科院官方意見,同時也不會做正式文件報告刊發(fā),“研究所是科研單位,不會與外界任何商業(yè)行為有合作或牽扯”。
前不久,科普作家方舟子在網(wǎng)絡(luò)與360展開口水大戰(zhàn),指稱360瀏覽器侵犯用戶隱私。有消息稱,工信部已經(jīng)叫停雙方口水戰(zhàn),并介入調(diào)查。據(jù)孟丹透露,中科院信息工程研究所并未受到工信部有關(guān)此事的任何委托。
孟丹還向TechWeb表示,中科院信息工程研究所最早將于今天下午在官方網(wǎng)站發(fā)布公告,就此事做出回應(yīng)。(恰克)
中科院:360隱私泄露風險的技術(shù)研究報告
360瀏覽器侵犯用戶隱私話題再次引人關(guān)注。據(jù)《上海青年報》11月23日報道,中國科學院信息工程研究所主辦的“隱私保護”學術(shù)研討會在京召開。會上一份由中科院保密技術(shù)攻防重點實驗室研究撰寫的《個人隱私泄露風險的技術(shù)研究報告》報告揭示:一直以安全為名的360瀏覽器在架構(gòu)設(shè)計、運作原理方面竟然存在著三大隱私安全問題,將會給用戶安全帶來嚴重危害。
“這將會給用戶安全帶來嚴重危害”,《上海青年報》援引一位與會專家觀點稱。
此前,工信部曾公開宣布將對360安全問題展開調(diào)查,但目前尚沒有權(quán)威機構(gòu)出臺令人信服的調(diào)查結(jié)果。中科院作為信息研究的專業(yè)機構(gòu),此次所出具的該項報告,或?qū)⒊蔀橥苿釉搯栴}解決的重要依據(jù)。
《上海青年報》還從會上獲悉,中科院針對當前互聯(lián)網(wǎng)常用產(chǎn)品及服務(wù)的隱私保護問題進行了整體研究,涉及瀏覽器、即時通訊、電子商務(wù)、社區(qū)網(wǎng)站等多個類別。從記者輾轉(zhuǎn)獲得的報告原文來看,在瀏覽器隱私保護情況的研究章節(jié)里,中科院信息工程研究所研究人員對360安全瀏覽器進行了詳細的研究和分析,并歸納列舉出360安全瀏覽器存在的三大安全問題,其中包括: 收集用戶所打開過的瀏覽頁面地址、收集用戶在瀏覽器地址欄輸入的信息以及預留后臺端口,在用戶不知情的情況利用云端指令,在后臺執(zhí)行《安裝許可協(xié)議》規(guī)定內(nèi)容之外的功能等。
調(diào)查中,研究人員通過專業(yè)技術(shù)手段對整個軟件運行過程及環(huán)境進行了綜合測試,證實了360確實存在安全問題,并在實驗室進行了多次復現(xiàn)。研究人員在報告中舉例稱,當用戶在360安全瀏覽器地址欄中輸入一個完整的網(wǎng)址時,360瀏覽器會向360公司的特定服務(wù)器依次發(fā)送用戶的每一次輸入數(shù)據(jù)直至輸入完成,發(fā)送的信息包含了能夠確定用戶唯一性的ID,這可能會導致特定用戶的地址欄輸入以及瀏覽記錄容易被跟蹤和泄漏。另有分析顯示,“這些組件或以欺騙的方式被下載到電腦以實現(xiàn)360安全瀏覽器的某些未明示的功能,也可能造成用戶的電腦被惡意侵入”。
實際上,在過去數(shù)月,360安全軟件一直深陷安全及隱私泄漏漩渦,飽受來自網(wǎng)民、媒體、意見領(lǐng)袖和主管部門的質(zhì)疑。知名打假人士方舟子也就安全問題對360軟件發(fā)出連番質(zhì)疑,指稱360私自竊取用戶隱私、偽裝系統(tǒng)補丁、捆綁安裝軟件以及360通過“云控制”遠程操控用戶電腦等。盡管360方面并未正面回應(yīng)這些問題和質(zhì)疑,僅僅將其歸為“競爭對手迫害”,但層出不窮的真實案例,仍然引發(fā)大量用戶關(guān)注并卸載360,一些世界500強企業(yè)也內(nèi)部通知禁用360全系產(chǎn)品。根據(jù)CNZZ最新發(fā)布的數(shù)據(jù),自方舟子開始打假360以來, 360瀏覽器的市場份額下降了1.6%,保守估計流失用戶1000萬。
面對沸沸揚揚的“360隱私泄露門”, 10月25日,工信部新聞發(fā)言人、通信發(fā)展司司長張峰表示,工信部已經(jīng)介入調(diào)查方舟子指控的奇虎360瀏覽器竊取用戶隱私一事,“如果查實確有違法違規(guī)行為,將依法予以嚴肅處理”。360方面隨即宣布將主動將產(chǎn)品送至國家質(zhì)檢總局和工信部檢驗。
對于360的主動“送檢”, 互聯(lián)網(wǎng)威懾防御(IDF)實驗室創(chuàng)始人、安全專家萬濤認為作用不大。萬濤指出,360使用的是云端控制技術(shù),單檢測桌面軟件很難檢測到問題,對整個過程與環(huán)境進行檢測評估才能更好地說明問題。
中國人民大學教授石文昌曾表示,如果安全軟件不遵守軟件安全機制設(shè)計的重要原則之一 — 最小特權(quán)原則(POLP,principle of least privilege),而是利用特殊權(quán)限,進行非功能實現(xiàn)所必須的操作,其對系統(tǒng)權(quán)限的濫用將影響到用戶系統(tǒng)的信息安全。
相關(guān)與會專家表示,“根據(jù)此次中科院的研究報告,和之前社會各界對360軟件安全性的質(zhì)疑,360公司以安全為名、行盜取泄漏用戶隱私之實的一系列行為,已經(jīng)嚴重違反了工信部2011年第20號令頒布并于2012年3月15日實施的《規(guī)范互聯(lián)網(wǎng)信息服務(wù)市場秩序若干規(guī)定》中的相應(yīng)條款”。
該《個人隱私泄露風險的技術(shù)研究報告》標明“V1.0”,發(fā)布者為“中國科學院信息工程研究所保密技術(shù)攻防重點實驗室”,發(fā)布時間是2012年11月。
以下為《個人隱私泄露風險的技術(shù)研究報告V1.0》的部分內(nèi)容:
前言
隨著國內(nèi)外個人隱私泄露事件的頻繁發(fā)生和對個人隱私保護的重視,人們越來越關(guān)注日常工作生活中計算機軟件、移動終端以及高技術(shù)帶來的個人隱私問題。中國科學院信息工程研究所保密技術(shù)攻防重點實驗室對當前常用軟件和終端產(chǎn)品的用戶隱私保護情況進行了初步調(diào)查,通過實驗研究發(fā)現(xiàn)了一些有關(guān)隱私保護存在的風險。本文主要從常用軟件、網(wǎng)絡(luò)服務(wù)、移動終端以及聲光電磁等四個方面介紹了實驗室的研究結(jié)果和發(fā)現(xiàn)。文中內(nèi)容注重實例研究和數(shù)據(jù)再現(xiàn),希望引起有關(guān)部門對個人隱私相關(guān)問題的關(guān)注。
本文得到了北京大學互聯(lián)網(wǎng)安全技術(shù)北京市重點實驗室的幫助。
1 終端常用軟件與用戶隱私保護
1.1網(wǎng)絡(luò)瀏覽器
許多網(wǎng)絡(luò)瀏覽器為了增強用戶體驗、提供個性化服務(wù)、發(fā)展定向廣告業(yè)務(wù)等目的,通常會在后臺收集用戶的網(wǎng)頁瀏覽記錄等個人信息上傳到服務(wù)器。然而許多收集用戶個人信息的行為是在用戶不知情的情況下進行的,或者所收集的信息超出了軟件《安裝許可協(xié)議》中進行了明確規(guī)定的范圍。
實驗室以360安全瀏覽器當前最新版本5.0為例,對瀏覽器的用戶隱私泄露問題進行了分析和研究,網(wǎng)絡(luò)瀏覽器中的隱私泄露威脅存在于以下幾個方面:
1)預留后門,植入代碼:一些瀏覽器在使用過程中會在用戶不知情的情況下在后臺執(zhí)行《安裝許可協(xié)議》規(guī)定內(nèi)容之外的功能,360安全瀏覽器在運行過程中約每5分鐘與服務(wù)端進行一次通信,并下載一個文件,如下圖所示,下載的文件為se.360.cn/cloud/cset18.ini,但是從數(shù)據(jù)流可以看出該文件實際上是一個PE文件,文件頭中標識的產(chǎn)品名稱為DataDll。
圖1-1
將該文件從數(shù)據(jù)流中提取出來得到一個dll文件,查看該文件的屬性,得到其文件說明為“360安全瀏覽器 安全網(wǎng)銀”。
圖1-2
從該文件中提取到一段Base64編碼的文本信息:
W3N0XQ0KY291bnQ9Mg0KW3N0MV0NCmlkPTENCnVybD1odHRwOi8vd3d3LmJhaWR1LmNvbS9zZWFyY2gvcmVzc2FmZS5odG1sKg0KW3N0Ml0NCmlkPTINCnVybD1odHRwOi8vdmVyaWZ5LmJhaWR1LmNvbS92Y29kZT8qDQpbdHJheW1zZ10NCnN0YXRpY3NpZD0zMQ0KY291bnQgPSAxDQp1cmwxPWh0dHA6Ly93d3cuYmFpZHUuY29tL3NlYXJjaC9yZXNzYWZlLmh0bWwqDQpbbWFpbl0NCmhrcmVzMj0xDQpjYmM9MQ0KW2NiY10NCnVybGNvdW50PTENCnVybDE9aHR0cDovL3d3dy5iYWlkdS5jb20vc2VhcmNoL3Jlc3NhZmUuaHRtbCoNCmNiY2NvdW50PTINCmMxPUJBSURVSUQNCmMyPUJEVVNT
經(jīng)過解碼后的內(nèi)容為:
[st]
count=2
[st1]
id=1
url=http://www.baidu.com/search/ressafe.html*
[st2]
id=2
url=http://verify.baidu.com/vcode?*
[traymsg]
staticsid=31
count = 1
url1=http://www.baidu.com/search/ressafe.html*
[main]
hkres2=1
cbc=1
[cbc]
urlcount=1
url1=http://www.baidu.com/search/ressafe.html*
cbccount=2
c1=BAIDUID
c2=BDUSS
由此可推測該DLL文件的功能與網(wǎng)銀無任何關(guān)系,而是跟搜索引擎百度相關(guān)可能是為了躲避Referer字段的檢查。這種行為雖然不涉及用戶隱私,但是具有欺騙性。
此外,360安全瀏覽器還會在用戶不知情的情況下定期從服務(wù)端下載和執(zhí)行一個名為“ExtSmartWiz.dll”的動態(tài)鏈接庫。如果該動態(tài)鏈接庫被植入惡意功能或者不法分子利用域名劫持等方法對瀏覽器下載的“ExtSmartWiz.dll”文件進行惡意篡改,將會給用戶安全帶來嚴重危害。
2)收集用戶瀏覽記錄:很多瀏覽器會將用戶所打開的頁面地址上傳到服務(wù)器,以分析用戶的個人愛好或者統(tǒng)計網(wǎng)站的受歡迎度,從而在瀏覽器首頁更好地為用戶推薦個性化內(nèi)容。這種行為也侵犯了用戶的隱私數(shù)據(jù)。下圖為當用戶使用360安全瀏覽器5.0訪問網(wǎng)頁的時候,每打開一個網(wǎng)頁之后都會向360的特定服務(wù)器發(fā)送一個POST請求,內(nèi)容包含加密過的url信息。
圖1-3
3)收集瀏覽器地址欄輸入信息:當用戶在瀏覽器地址欄中輸入網(wǎng)址的時候,很多瀏覽器為了幫助用戶自動補全網(wǎng)址,會把用戶所輸入的內(nèi)容上傳到服務(wù)器來。下圖為當用戶在360安全瀏覽器5.0的地址欄中輸入“10.105.240.57”時,瀏覽器會將該地址發(fā)送到sug.so.360.cn,并且發(fā)送時附帶的Cookie中會帶有具有用戶唯一性標志的guid值,這可能會導致特定用戶的地址欄輸入以及瀏覽記錄被跟蹤和泄漏。
圖1-4
下圖所示為當用戶在360安全瀏覽器5.0的地址欄中輸入“weibo.com”的過程中,每輸入一個字符,瀏覽器就會向 sug.so.360.cn發(fā)送當前瀏覽器地址欄中的內(nèi)容(即“w”、“we”、“wei”、“weib”、“weibo”、“weibo。”、 “weibo.c”、“weibo.co”、“weibo.com”)。
圖1-5
中科院《個人隱私泄露風險報告》曝光
2012年11月23日 南方都市報
南都制圖 劉寅杉
360、谷歌等名列其中,360稱所有軟件均遵循“四不三必須”準則
昨日,南都記者獨家獲悉,中國科學院信息工程研究所主辦了一場主題為“隱私保護”的閉門學術(shù)研討會,同時發(fā)布了一份由中科院保密技術(shù)攻防重點實驗室研究撰寫的《個人隱私泄露風險的技術(shù)研究報告》(下稱報告)。內(nèi)容顯示,目前網(wǎng)民日常使用的許多網(wǎng)絡(luò)服務(wù)都存在泄露隱私的風險;國內(nèi)外許多知名互聯(lián)網(wǎng)公司榜上有名,包括360瀏覽器、微軟的Hotmail、谷歌的Gmail等。
多個互聯(lián)網(wǎng)應(yīng)用名列其中
據(jù)內(nèi)部人士透露,此次中科院聯(lián)合了北京大學互聯(lián)網(wǎng)技術(shù)北京市重點實驗室(下稱實驗室)共同針對當前互聯(lián)網(wǎng)常用產(chǎn)品及服務(wù)的隱私保護問題進行了整體研究,涉及瀏覽器、即時通訊、電子商務(wù)、社區(qū)網(wǎng)站等多個類別。
報告稱,中科院信息工程研究所研究人員經(jīng)過研究和分析,歸納列舉出360安全瀏覽器存在的三大安全問題,其中包括:收集用戶所打開過的瀏覽頁面地址、收集用戶在瀏覽器地址欄輸入的信息以及預留后臺端口,在用戶不知情的情況下利用云端指令,在后臺執(zhí)行規(guī)定內(nèi)容之外的功能。
在南都記者獲得的部分報告原文內(nèi)容中,實驗室以360安全瀏覽器最新版本5.0為例,對瀏覽器的用戶隱私泄露問題進行了技術(shù)分析和研究。發(fā)現(xiàn)瀏覽器在使用過程中,會在用戶不知情的情況下在后臺執(zhí)行《安裝許可協(xié)議》規(guī)定內(nèi)容之外的功能。這可能涉及隱私泄露。
奇虎360有關(guān)人士接受南都記者采訪時曾表示,360的所有軟件產(chǎn)品均將遵循“四不三必須”準則。“四不”是指:不該看的不看;不該傳的不傳;不該存的不存;不該用的不用。“三必須”是指:一切行為必須明示;必須經(jīng)過用戶許可;必須對收集的用戶個人信息負責。
隱私泄露范圍廣、影響大
按照報告內(nèi)容,除以360瀏覽器為代表的網(wǎng)絡(luò)瀏覽器外,以Hotmail和Gmail為代表的郵箱業(yè)務(wù),Skype為代表的即時通信軟件等均存在在用戶不知情的情況下,泄露隱私的問題。至南都記者發(fā)稿為止,谷歌等相關(guān)企業(yè)均未作出回復。
早在兩年前,有關(guān)谷歌G m ail的用戶隱私泄露問題就已見諸報端,但發(fā)生地在美國本土。當時據(jù)外媒報道,有黑客設(shè)計過一個網(wǎng)站,用戶只要登錄過谷歌帳戶(如G m ail),然后再訪問該網(wǎng)站,那么G m ail用戶的電子郵箱地址等信息就會被泄露。當時該黑客只是以試驗的性質(zhì)抓取該漏洞并設(shè)計網(wǎng)站,并把整個過程曝光,以提醒谷歌,但未獲得回復。直至問題越鬧越大,谷歌才發(fā)表聲明稱,“該問題存在于G oogleA pps腳本A PI(應(yīng)用編程接口)中,如果用戶訪問過特定網(wǎng)站,那么第三方可以在未經(jīng)用戶許可前提下向用戶發(fā)送電子郵件。”并表示已經(jīng)迅速修復該問題,阻止了存在問題的網(wǎng)站。不過按照此次中科院發(fā)布的報告,谷歌類似的隱私泄露漏洞尚未被完全堵截。
報告對保護網(wǎng)民信息安全有益
“這是國內(nèi)首次有權(quán)威科研機構(gòu)出面證實多個互聯(lián)網(wǎng)應(yīng)用存在嚴重隱私泄露問題,對于保護網(wǎng)民信息安全、規(guī)范行業(yè)發(fā)展等方面具有重要意義。”互聯(lián)網(wǎng)戰(zhàn)略發(fā)展研究中心首席經(jīng)濟學家、互聯(lián)網(wǎng)周刊主編姜奇平表示,用戶必須意識到,他們在網(wǎng)絡(luò)上的隱私保護狀況現(xiàn)在已經(jīng)急劇惡化。咨詢公司戰(zhàn)國策首席分析師楊群則認為,用戶隱私收集就像是互聯(lián)網(wǎng)行業(yè)內(nèi)的一層窗戶紙,很多人知道,但不知道如何應(yīng)對,且因此出現(xiàn)實際損失的人也不多。然而,此次報告的內(nèi)容被曝光,就像捅破了最后一道防線,可能會演變?yōu)槿鐣P(guān)注的問題。
采寫:南都記者 方南
相關(guān)文章
「 支持烏有之鄉(xiāng)!」
烏有之鄉(xiāng) WYZXWK.COM
您的打賞將用于網(wǎng)站日常運行與維護。
幫助我們辦好網(wǎng)站,宣傳紅色文化!
歡迎掃描下方二維碼,訂閱烏有之鄉(xiāng)網(wǎng)刊微信公眾號
