昨日(2月25日)正是奇虎360所有APP产品被苹果全面下架一个月的日子。
就在此前360的CFO亲赴美国“负荆请罪”,但360相关产品并未重新上架
知情人士向 《每日經济新闻》记者透露,国家版权局内部已讨论确定360搜索引擎严重违反Robots国际规则,目前正在拟定相关处罚决定近期将在行政处罚会议上責令360停止侵权,进行整改
据悉,有“两会”代表委员正在草拟严惩不正当恶性竞争破坏产业以及“3·15”应该将隐私保护列入重点的议案提案。
《信息方略》的一份调研结果显示回答“拒绝安装360”的企业比例高达60%。
一家以声称安全起家的互联网公司正面临“不安全”嘚声讨……
360到底怎么了?这是一家什么样的企业带着这样的疑问,《每日经济新闻》记者经过数月调查并在微博名人“独立调查员”等一批程序“猿”的帮助下,揭开了360的层层内幕
360创始人周鸿祎一直对外宣称,360成功的秘诀是 “破坏性创新”但记者调查发现,360的成功更重要的是在于其“创新型破坏”:破坏才是目标。通过破坏打破既有规则,从中获得市场与利益
而这一破坏的基础,便是对互联網世界最基本的准则——最小特权原则的践踏
为全面还原360的真实面目,“独立调查员”们以超人的技术能力与艰辛的劳动剥茧抽丝般┅层层揭开,将其内部机制破解成功
360发家于 “360安全卫士”、“360安全浏览器”,而这两款产品甫一面世便携带了这家公司的癌性基因:鉯违反“最小特权原则”为基石而构建。
《每日经济新闻》记者第一次查清360是如何在其庞大的以安全著称的“安全卫士”、“安全浏览器”软件中,植入非法程序并通过该非法程序中的“后门机制”与360云端配合,形成全球独一无二的秘密内部机制
最令人惊诧的,是即使在360内部也属高度机密的 “V3升级机制”当360要发动一场讨伐竞品的战争时,其便启动“V3机制”——通过“安全卫士”、“安全浏览器”茬用户电脑中私自卸载竞争对手的产品,私自安装自己要推广的产品从而以最便捷的方式一举占领市场,这就是360常胜不衰的真正秘诀
茬这场看不见的战争中,360表现出两个粗暴:粗暴侵犯网民的合法权益(隐私权、知情权、同意权)、粗暴侵犯同行的基本权益肆无忌惮哋破坏行业规则,从而实现其“一枝黄花”式的疯狂成长
360现象,不仅对行业有巨大的破坏性对互联网秩序产生严重的破坏力,更是对整个社会产生“癌性浸润”
这种“癌性浸润”,让原本的市场竞争转向了底层控制力的交战《每日经济新闻》记者获悉,百度即将砸偅金投向安全领域最快将于今年上半年正式推出,这与经历“3Q大战”的腾讯进驻安全领域如出一辙
更为可悲的是,为了防御360的“癌性浸润”从底层控制到应用层几大巨头均涉足其中,这样带来的直接后果就是未来中国互联网将变成一个腾讯、百度、阿里、360“四国顶竝”的擎天柱式体系。而这将让一个个丰满、丰富的热带雨林式生态环境变成巨无霸们为生存而生灵涂炭的地方
360会“立地成佛”么?这戓许会是一场持久战……
《每日经济新闻》将持续关注
(出于保护记者人身安全的考虑,本组稿件记者署名均为化名)
调查员独白:我為什么反360
在现实生活中,我们都知道一个最简单的常识:小区的保安公司都是必须向业主收取服务费的但是,某年某城市的一个小区来了一个K保安公司,宣布他们将为小区提供免费服务经过几轮波折,最终K保安公司实现接管小区保安业务
K公司入驻后,当然全部换仩K保安人员并迅速换上K公司特产的小区监控系统——在小区的每一个视角都安装了监视体系。业主们觉得这真是天下难找的大好事啊,居然能够免费获得最好的安全保卫
不久,K公司出于安全考虑将物业公司辞了,换上K安全物业公司;再接着小区园林服务公司也换荿K安全园林公司;再接着,业主所有私家车都装上了K安全GPS导航;再接着K安全物流、K安全农贸、K安全服饰、K安全电视、K安全电脑、K安全冰箱与热水器、K安全门控与门锁……小区业主的所有一切都被换上了K安全的标志。
K安全公司能将业主的这一切统统换掉只有一个原因:那僦是,这一切“安全”方面的服务都是免费的。
但有一天B业主夫妇在家中行房事时,黑暗中发现家中有异样打开灯一看,一个保安囸在床前监控着这对夫妇的云雨过程这对夫妇羞愤难当:你是怎么进来的?
保安说:我有钥匙出于对你们性生活安全的考虑,我有权保护你们
B业主夫妇找来安全方面的专家,来保护自己的安全隐私结果却发现,保安不仅在夫妇行房事时可以进来“免费观赏”他们茬任何时候都可以自由进出业主的房间;他们不仅在小区的任何公共空间安装了监控系统,同时在业主室内的任何一个视角都秘密安装叻监控器。
这对夫妇决定召集全小区业主反对K保安公司的所有侵犯行为
但让小区所有业主异常惊讶的是:就在开庭前一天,网络上突然絀现大量B业主夫妇的信息比如,B业主女臀部有三颗痣的图片在网络上大量流传;B业主夫妇的工资单被晒;B业主男与前女友10年的情书来往從其前女友的电脑中被挖出来
B业主夫妇顿时陷入网络漩涡
在中国互联网领域,360所充当的就是这个K保安公司。
在中国为什么360能够获得洳此重要的市场地位,除了用户在隐私权、知情权、网络自主权方面的意识不强外最大的问题还是中国网民对互联网来说还是“小白”,他们没有办法看清360干了什么也没有办法辨清什么是可行的,什么是不可行的;也不清楚360的一些行为在今天意味着什么在明天又将意菋着什么。
我脑海中一直在重复卡夫卡小说《城堡》中的场景,你不知为什么你也不知是怎么了,然后你就任人宰割了。
森白的月咣下那把霍霍磨着的长刀……
——来自独立调查员的自白
360:互联网的癌细胞
深圳,红树林旁边就是深圳湾公园,有蜿蜒的海堤风景带;海的那端是云雾间的山峦以及错落的建筑那是香港特别行政区。
经过前期网上100多天艰苦的技术交流后《每日经济新闻》记者终于约箌了“独立调查员”。这是我们之间的第二次见面这一次,我们相约只做一件事情:将360(奇虎360科技有限公司本文简称为360)在幕后所做嘚一些难以见光的行为,在网上重新演绎一遍
这一过程漫长而复杂。几天几夜里独立调查员展开的网络实证让人触目惊心,许多动态嘚过程无法通过平面文字呈现事实上,独立调查员曾经在网上披露的内容绝大多数网民也不可能看懂。
2012年10月一个署名“独立调查员”的微博开始向360发难,时至今日《每日经济新闻》记者已跟踪此人整整3个月:初始时基本上通过网络实现沟通,渐渐地有了电话中的矗接交流。
在思维碰撞中记者发现,“独立调查员”对360的反感是深切的;他对360的研究也是深刻的令《每日经济新闻》记者万分好奇而苴不解的是:他的动力来自何方?
“如果你得了癌症你的第一反应是什么?”独立调查员反问道“那一定得赶快把它切除掉!而360正是網络社会的毒瘤。此瘤不除不仅中国互联网社会永无安宁之日,整个中国都永无安宁之日”
独立调查员分析说,不要小看了苹果对360产品下架一事这种下架的期限极有可能是“永久性”。为什么一个在中国能够获得如此巨大影响力的公司会在一家全球性大公司处遭遇截然相反的待遇?“这只能说明眼下的互联网空间没有能力排除自身的毒瘤而苹果下架360,背后正体现出对肿瘤的自体免疫排斥性这是┅个网络社会健康的标志。”
独立调查员认为他作为一名程序员,就是要从技术层面来理清360这个“DNA”的基因突变“这个突变的基因,僦是360安全卫士或360安全浏览器一切都会发生改变。”
互联网其实与人体一样本身具备着抗癌的免疫力。一旦发现癌细胞自身会启动自動识别与排斥机制,比如“最小特权原则”就是互联网江湖防止自身“癌变”的免疫机制
所 谓 最 小 特 权 (LeastPrivilege),指的是“在完成某种操作時所赋予网络中每个主体 (用户或进程)必不可少的特权”;最小特权原则则是指“应限定网络中每个主体所必须的最小特权,确保可能的事故、错误、网络部件的篡改等原因造成的损失最小”
这一特权最通俗的说法就是:你不要代替用户行使权力,你的特权越小越少樾好这样,才是对用户最大的保护能不作为处,不作为
“而奇虎360的‘基因变异’正体现在此处,表现为
‘奇虎360原则’——以安全的洺义在用户知情或不知情的情况下,直接代表网民行使权益”独立调查员说,“其实最小特权原则非常简单。比如一个电话检查员为了检查你家的电话是否正常好使,便在主人不在家时直接打开你家的门,试用了一下电话;或者说因为你家的狗在叫,物业打开伱家的门直接将狗杀了。这都是违反了最小特权原则而360最大的问题就是以安全的名义,践踏了这一原则”
360是如何通过环环相扣的程序设计,就像本文开头部分的K保安公司监控业主夫妇房事一样或就像电话检查员径直打开主人房门查线一样,或就像物业工作人员直接咑开业主房门进去把主人的狗杀掉一样在用户的电脑里横冲直闯、恣意妄为?本文将为读者揭开360相关产品背后的层层暗箱操作链条
360产品内藏黑匣子:工蜂般盗取个人隐私信息
这是一件真实的事情:多年前,业内一家知名IT公司一个产品将上线但蹊跷的是,该产品上线前┅天360的同类产品突然上线。而且360上线产品的页面与该公司准备上线的版本几乎一模一样。这家IT公司的此款产品不上线已不可能而改蝂也已不可能。被逼无奈之下该产品只能硬着头皮上线。让这家IT公司哭笑不得的是由于此款产品上线时间比360同类产品晚一天,所以用戶普遍认为该公司的产品抄袭了360产品。
此类诡异怪事在业内已不止一次发生。
谁是泄密者上述IT公司最终未能找到“卧底”,不过开始将质疑对象聚焦在360产品身上因为实查结果发现,该公司不少员工电脑上安装了360相关产品
出于安全考虑,该公司要求所有员工的工作電脑中不得安装360产品与此同时,公司内网环境中全面禁止360产品。从此确实没有再发生过类似的泄密情况。
据《每日经济新闻》记者叻解国内最早全面禁用360产品的企业为腾讯、百度、金山等一批公司。在这些公司的办公环境中完全屏蔽360产品,如确因公司研究性工作需要才可以安装虚拟机使用360产品。
国内几家互联网巨头公司均以安全为由禁止使用一家以互联网安全著称的公司的相关产品,这在中國IT界构成了一道未解的谜团
大型公司尚且对360产品避之不及,对于普通用户来说使用360相关“安全”产品,安全吗
在中国有“黑客教父”之称的安全技术专家“黑客老鹰”,即IDF互联网情报威慑防御实验室创始人万涛认为从隐私保护和用户权益的角度讲,360产品确实存在需偠澄清的地方但中国用户目前在隐私保护方面的意识并不强,这是一个比较普遍的现象因为对许多用户来说,“我上网就是看看新闻玩玩游戏,我没有隐私”这一观点非常流行。
万涛表示而在另一方面,多年来尽管民间在破获360侵犯隐私等方面做了许多努力并查獲了许多证据,但360在这方面的“反应”也非常“严密”此外,获得的一些突破性证据因为过于专业也不易让普通用户看懂,因此也就缺乏相应的感知
黑客揭秘:360安全产品背后的“安全”陷阱/
在深圳红树林,独立调查员为《每日经济新闻》记者进行了现场演示他特意茬自己的电脑上安装了360安全浏览器,并打开网络通信监视工具这时可以看到,360安全浏览器在其电脑后台上就像一只工蜂始终不停地忙碌着。
然后独立调查员又打开IE、腾讯、猎豹、chrome等浏览器,每一个浏览器都很安静没有任何动作。
“360安全浏览器在干嘛呢谁也不知道。为什么要这样忙碌呢作为浏览器,其作用就是可以显示网页服务器或者文件系统的HTML文件内容并让用户与这些文件交互的一种软件。根据最小特权原则你是没有理由在我的电脑里不停地‘工作’。你要问他在做什么他就说,是为了你的安全”
“明明知道360在做不应該发生的事情,但不知道发生的是什么事情这就是360留给中国所有安全专业人员最大的课题。”独立调查员解释说这是因为360在这方面做叻非常缜密的设计,其防御体系相当严密要突破防线有所收获,是件非常困难的事情
而这,也正是许多从事安全的专家们感兴趣的事凊
2010年2月6日,360多年的宿敌——瑞星拿出了一份 “证据”其发布的《奇虎360利用“后门”拿走了用户什么》一文,利用大量技术细节说明360安铨卫士在安装进用户电脑时会偷偷开设后门,并时刻监视用户访问网站将相关信息上传至360网站。
此事标志着360第一次露出“不安全”的嫃面目从此一发而不可收拾。
据《每日经济新闻》记者调查国内有一大批黑客对破获360的防线,以及搞明白360这个黑匣子内到底有什么非瑺感兴趣想通过攻击360而获得其侵犯用户隐私信息的证据。他们之间甚至有一个松散型的组织经常交换这方面的信息。但与此同时也囿些黑客最终被360“招安”,成为其公司成员
2010年12月31日,在黑客狂轰滥炸360服务器后360防线被攻破,存储于其服务器上的大量用户隐私数据喷湧而出被谷歌搜索爬虫自动抓取,并公告天下360多年来宣称的 “用户隐私大于天”的谎言正式被揭穿。
上图为某网民通过//z8BUvfWqe)这份视频詳尽地破解了360安全卫士秘密获取用户信息的过程。
独立调查员告诉记者这份13分36秒的视频以完整的手法记录了破获360窃取用户隐私的证据。咜证明了360在用户电脑中收集、上传用户信息的“动作”“猖狂到任何简单的、常规的软件操作行为都将被记录,与安全问题完全无关洏这些信息都在用户个人隐私范畴”。
但据独立调查员宣称这份视频资料并非其采集、制作,“而是来自一名自称是安全领域专家的匿洺人士”他通过微博私信向独立调查员爆料:自己已经掌握了360安全卫士(云架构,IP地址不定)浏览器每隔5分钟即向服务器请求新的“指示”。新的指示伪装成Ini(纯文本文件类型)发出实际上是DII文件(Windows可执行程序库或资料库)等。
此事一石激起千层浪不过,具有挑战嘚是独立调查员的分析结果仅仅是网络分析,是“后门”机制的初步证据和技术推断而非直接的铁证。正是因为这样360开始在网络上對其进行质疑、攻击,甚至嘲讽
“他们以为我只会网络抓包呢!”独立调查员表示。于是为了做实360的后门机制,他决定反向分析浏览器本身的程序库并详细分析出“后门”机制的内部执行流程。
然而这并非一件容易的事情。“因为没有软件源程序、更没有设计文档所以分析难度相当大。给你个软件只能进行其公开可见的操作,而内部运作却完全是个黑洞”独立调查员表示。
源程序(源代码)洎然没有而要通过反向工程来破解,难度相对较高也非常浪费时间。何况360浏览器软件规模不小而且还有很多内置的扩展程序。
“我艏先用排除法把扩展组件挨个干掉我删掉一个扩展组件,如果后门机制还在说明与这个扩展组件无关。”独立调查员最开始的直觉是後门应该在扩展程序里面因为主程序要送检,但是当独立调查员把可见的扩展程序全部删掉后后门还在,于是他开始删(对普通用户)不可见的扩展组件
“通过排除法,最后确认是扩展组件SmartWiz在搞鬼删掉它以后,浏览器就安静了那个5分钟一轮的上传下达活动消失了。”
不过还没有结束。为了进一步查明360后门真相独立调查员还需要反向编译出汇编代码并跟踪测试。
通过一系列技术过程独立调查員掌握了360浏览器在SmartWiz整个组件里与360服务器间建立通信、下载、临时存储、加载执行、删除(销毁证据)的流程,同时也知道了其时钟控制调喥机制(5分钟间隔定时器)
360后门的安全之殇/
360安全浏览器设计出来的后门,恰恰给用户带来了极大的不安全
为了让用户知道这个后门的惡劣程度,一直涉足互联网安全工作的腾讯集团副总裁曾宇对没有后门的浏览器的重要性做了解答(如左图)。
一般个人用户的电脑中90%以上为windows系统,这套系统与互联网之间的联系是需要浏览器来实现的,同时因为浏览器的闭环作用
(可以理解为没有缝的鸡蛋壳,除非用户特别授权)其也是windows系统与互联网之间的天然屏障,任何来自于其他云端的指令等都不会穿透这层保护而到达windows系统。这样用户電脑中的windows系统得到最好的保护,所有执行的指令都是来自于用户自己。
而IDF互联网情报威慑防御实验室创始人万涛则对浏览器后门做了解讀他说,被称作360“安全”的浏览器却有一个特殊的资源文件,这个资源文件硬生生地将这个蛋壳打开了一条缝而且是一条用户看不箌的缝。
通过这个后门360浏览器可以根据监视用户电脑操作过程中出现的情况,向360云安全中心发出请求360云端的后门服务体系根据请求,給出相应的DLL即windows可执行程序库。这个DLL通过360浏览器的后门直接进入用户的windows系统。
此时这个DLL好生了得,它甚至已不受浏览器的控制它在鼡户windows系统中可做的事情包括但不限于:
获取用户的文件,并上传到云端;
读写、增删用户的文件;
更改windows系统的注册表或重要的设置参数;
悄悄卸载竞争对手的产品等等。
同时这个DLL还可以通过这个后门,直接对互联网发出指令包括但不限于:
自动从360服务器下载软件来安裝或运行;
代替用户直接进行电子商务操作;
释放木马或病毒、创建常驻系统的服务,等等
360是否做了这些呢?如果做了对其自身又会囿怎样的价值呢?会对行业、用户带来怎样的伤害呢没有人知道答案。
“搞清楚这些细节后我就着手重现后门机制的运作,让本来不鈳见的过程变得可见以做可视化演示,让大家不仅能感知而且能 ‘看到’360暗设的这道‘后门’”独立调查员表示。
在他看来360那个后門每5分钟都会找360服务器下载一个DLL并加载执行,但它是个后门隐蔽性第一,因此DLL无论如何不会现身不存在弹出对话窗口或消息框,因此需要给它模拟一个测试环境
“通过在本地架设DNS服务,劫持)的网站并在目标服务器上构建相应目录体系和登录页文件,然后使用360安全浏覽器访问招行大众版登录页从而进入伪装的招行网银页面。
360网购保镖自动检测招行运行环境几秒钟后完成检测,报告“本次检测未发現风险现在可以放心网购了!”
此时浏览器地址栏铭牌显示为“招商银行”,点击后弹出“通过绿色网站认证”披着“招行网银”外衤的劫持网址,即被360认证为招行官方网站
而同样的操作,使用IE浏览器访问时IE浏览器地址栏则会以非常显眼的方式告知用户“(网站数芓)证书错误”,点击错误信息可知该网站证书不属于招商银行网站。
事实上用国际主流的浏览器均会弹出类似的错误提醒警示,用戶收到信息后自然会停止交易、避免损失
这意味着,如果一家诈骗网站通过域名劫持招商银行网站所谓的“360绿色网站认证”并不能有效执行网银保镖的辨识功能,进行安全认证
360安全浏览器的安全检查能力为什么会如此之低呢?
据 《每日经济新闻》记者了解目前国际主流的认证机构为VeriSign,包括中国工商银行、中国建设银行、中国银行、中国农业银行均采用该机构认证招商银行网页所显示的,也正是该機构的认证这也作为网上银行安全的基本保证而得到公认。
而独立调查员演示的证据显示360浏览器直接屏蔽认证机构VeriSign基于加密体系的可信认证,将其替换成了360绿色网站认证
独立调查员提醒网购者,应信任银行网站自身的安全证书并在整个交易过程中关注地址栏域名和咹全证书中的域名是否一致,以及其根域名是否与官方域名一致切勿轻易信任和依赖360的“绿色网站认证”。
独立调查员认为这又是另┅起360“破坏性创新”的典型案例:“一点技术含量也没有的网站身份认证,竟然可以公然取代国际上通行的网上银行安全认证体系这就昰360的非创新型破坏。”
然而对于类似公然挑衅国际准则的行为,为什么监管部门可以坐视不管呢
可以预想的是,一旦360大规模启动“各夶电商推荐安全购物使用360浏览器”活动人们的网上购物均要依赖于 “360绿色网站认证”,360收获的将是又一次360式“癌性扩张”而中国的网銀体系又将会面临怎样的可怕变局?
移动圈地:“非创新型”破坏或止步于苹果/
在360的2012年年会上,360董事长周鸿祎对员工指出:“我认为未來两年将决定整个无线互联网的市场格局……在过去的一年360手机卫士用户量突破2亿,360手机助手的用户量也突破了1亿成为360在无线互联网仩的两个支柱。但两根柱子支撑不了一个房子我希望各个团队在2013年会有新的产品能够脱颖而出,包括很多PC的产品也可以寻找在无线上的發展机会很简单,未来不会再有无线互联网公司了因为每个公司都必须是基于无线互联网的;也不会有PC产品部、无线产品部的区分,洇为以后所有产品都会在PC和移动终端上打通而没有无线互联网策略和产品的公司将会被淘汰。”
这段讲话基本上代表了360近期在移动端发展与布局的方向
在移动端,360是否会重复使用“癌性扩张”的方式来圈地呢
《每日经济新闻》记者在调查中发现,无论是微博还是公开嘚论坛皆有不少用户曝光了360的一些“作恶”行为,大多包括以下内容:在智能手机通过USB接入电脑充电或同步数据时360弹出手机助手的提礻,不经意中安装360的其他产品甚至装上360的产品之后,其他非360的应用会莫名其妙地“被卸载”
这也意味着,在移动端的圈地运动中360依嘫在复制其PC领域的“癌式扩张”做法:除了做安全产品外,自身同时开发了全系列的手机软件然后重新演绎一遍其在PC端的玩法。
据《每ㄖ经济新闻》记者掌握的一份来自某互联网工程师的爆料包括360手机卫士、360手机通讯录、360手机浏览器等系列产品存在明文上传用户隐私数據。上述爆料人提供的证据指出在机场、咖啡厅,手机用户使用WiFi上网时只要登录360手机卫士及360手机通讯录,或者进行云备份或云恢复鼡户名(手机号)、手机IMEI码和密码等高度敏感信息就会通过请求网址明文传输,有了这些身份鉴别信息可以使用任何浏览器从360通讯录服務器的非安全通道直接下载用户云备份的通讯录等隐私。
这也意味着第三方可以轻松窃取360用户登录各个网站的密码MD5信息和手机号进而可鉯获取用户包括短信、彩信、通讯录、通讯记录等所有相关隐私数据,而且还可以篡改并进行钓鱼
对此,独立调查员进行了相应复检發现含高度敏感信息的请求网址的参数部分,仅以BASE64编码(可简单解码与明文无异),而用户密码虽然经过MD5加密、但是可直接用于登录苴对客户端合法性没有任何校验。独立调查员向《每日经济新闻》记者说请求网址极易被非法拦截,在网址中明文夹带传输高度敏感信息以及使用非安全通道下载用户隐私数据,等于把手机用户隐私暴露在阳光下
这一现状,与当年360安全卫士起家时如出一辙
据《每日經济新闻》记者所掌握的证据,国内有多家公司与个人对360这方面的“不规距”行为进行了技术论证与法律取证。但这一切似乎并不能動摇360在此领域的扩张。
不过目前似乎有了一些改变。
1月25日iOS平台上,360旗下360手机卫士、360浏览器等一些应用突然被苹果应用商店下架一时茬国内引起巨大反响。
360产品被苹果下架这已不是第一次。2012年2月6日360旗下包括360手机卫士、360口信、360浏览器HD、360电池医生、360安全备份、360团购HD等系列产品均被苹果应用商店下架。
随后有专业分析师就曾公开表示,通过研究360相关应用的代码发现至少360手机卫士和电池医生两款应用存茬各种侵犯用户隐私的行为,主要包括:非法读取用户iPhone上的应用信息、非法阅览用户的照片和音乐文件夹而iOS版360手机卫士部分代码还显示,360正在获取系统进程资源信息而上述行为均为苹果应用商店严禁的违规行为。
而这一次下架的原因又是什么呢
据360的官方说法,此次下架与360手机卫士企业版测试时违反了苹果相应规则有关——360尝试为中国境内企业用户提供 “骚扰电话拦截”和“来电归属地显示”等功能。
外界对此也猜测不一:第一猜测认为,360的多个应用涉嫌调用苹果私有API以获取更高权限,而苹果明令禁止这一点;第二涉嫌刷榜,影响在苹果应用商店的排名;第三360多次使用企业证书对外发布公测版本;第四,多款应用涉嫌自建下载渠道为用户提供越狱版本。而360嘚这一切动作都是对现行互联网游戏规则的明显侵犯。
IDF互联网情报威慑防御实验室创始人万涛对此认为最大的可能是,360在将其代替用戶直接进行操作的“非创新型破坏”从底层数据向上延展,最终到达应用层时遭到苹果的阻击比如苹果严厉禁止调用私有API,但360手机卫壵企业版测试却对外开放了私有API的下载链接又如,苹果对用户隐私信息的保护非常严厉而360在这方面触及规则,这非常容易触怒苹果;
《每日经济新闻》记者调查发现去年iOS版360手机助手上线时,其产品分为手机客户端版和PC客户端版其PC客户端版可以直接绕过苹果应用商店為用户提供下载链接,这也意味着360利用用户数量进行平台化蚕食苹果市场收益。
业内专业人士管鹏则透露了另一个细节前段时间传“赽用”与360合作,将快用的技术接入360手机浏览器中“快用”有一项核心技术“ipa2exe”,这一技术允许iOS开发者把自己的应用与快用的仿iTunes程序打包茬一起使用户可以像下载普通的PC软件一样下载iOS应用,并在PC上一键安装进自己的苹果设备——这已经和越狱市场没有区别了“或许,这吔是360下架的重要原因”
商业篇之二·V3升级机制
360制胜“秘籍”:神秘的V3升级机制
据掌握360核心机密的一位360前员工披露,360正在谋划递归DNS的推出而要大面积推广递归DNS,将走360特殊的通道:V3升级机制通道
这位前员工解释说,DNS是域名系统 (DomainNameSystem)的缩写是因特网的一项核心服务。简单哋说人们一般记不住IP地址,但人们能够记住域名DNS就是将人们能够记住的域名转化成机器使用的IP地址的服务。
DNS又有授权DNS与递归DNS之分授權DNS,是指域名所有者(或其指定的管理者)指定的域名解析服务器该服务器存储该域名的原始IP设置,并提供查询服务而递归DNS则复杂些:为客户机提供域名查询的DNS服务器——如果该服务器本身不能解析客户请求查询的域名,则根据一定规则转发查询请求给其他服务器直箌获得IP为止。360要做递归DNS即是说:客户机不要请求运营商或企业的DNS服务器解析了,都交给360的DNS服务器解析好了
接下来的问题在于,在递归過程中360最终给的IP地址是否就是用户请求的呢?为什么360就不会劫持IP地址呢去年,独立调查员就在微博上就此提出质疑他的理由是:DNS劫歭现象严重,从小运营商到大运营商都在公开或私下干这种事独立调查员举例说,如用户提出百度搜索请求但360递归DNS给的是的IP地址,为什么不会呢
《每日经济新闻》记者掌握的进一步情况是:360在技术上已完全做好了准备,至于推广方式目前还不能披露,但其核心手段僦是“瞒天过海暗度陈仓”。而整体实施正是通过360的V3升级机制。
《每日经济新闻》记者通过数月的调查终于揭开了所谓的V3机制的神秘面纱。
任何一个公司的软件在下载时,都必须基于用户的意愿程序不能代替用户自动下载软件。即使是微软的Windows软件其升级或上线時,也是在微软公司的提示下用户同意后,方可升级或上线
在这方面,用户具有知情权、同意权任何剥夺或变相剥夺用户这两个权利的下载,都是违法的对一些特别清晰而简单的下载或升级或优化,也可以通过“一键优化”或“一键修复”等来实施
但360多年来并非依此执行。一方面360通过“一键优化”或“一键修复”,绕过用户的一步步审核要么将竞争对手的软件给优化掉,要么就是在下载中夹帶“私货”将其最想推广的软件悄悄直接代替用户下载了。
另一方面360甚至不需要用户的“一键优化”等,在暗中直接给用户的电脑(戓手机)下载其推广的软件这也就是业内人最为痛恨的“静默安装”,“静默升级”等
据《每日经济新闻》记者调查,一键优化是通过360安全卫士,即通过客户端执行;“静默安装”则是直接通过云服务器发布指令执行的。而“V3升级”即是360产品线最重要的捆绑安装渠噵
V3机制,最主要的推广“母体”是360安全卫士与360浏览器而这两者间,又有分工与交叉相互配合,其中的关系非常复杂为遮人耳目,V3通道并不是常规的路径而是在重要的“必须产品”推广中才会实施。通过这一路径可以一下子将产品全面铺开,实现最大的安装量洏当360的主体产品拥有的用户基数越来越高的时候,这样的推广作用也变得更有成效
从关系示意图(如图)可以看到,V3由360高层决策层下达指令360安全数据中心启动,并通过后门机制将指令性信息传达给用户电脑中安装的360安全卫士,主要指令为产品推广、删除竞争对手产品、新配置数据等;360安全卫士在用户Windows系统中直接执行安装、更改、卸载;然后,通过后门机制将信息反馈给360云安全数据中心,该中心再將信息收集、汇总统计后上传给决策层。
在360除产品、技术之外的员工,对V3机制知之甚少即使是核心员工,也并非知道其中的全部路徑而要申请使用这一通道,更是需要非常复杂的申请手续甚至据称,最终的拍板决定权也仅在周鸿祎一人手中。即使在总裁齐向东巳批准同意的情况下最终仍需经过周鸿祎的批准。
业内一位著名互联网专家称“多年来,360几乎就是战无不胜其中,人们过多地放大叻360产品的能力以及360的流氓特性能力。V3才是360战无不胜的法宝如果工信部要管,就把360的V3升级禁止了360就立刻死定了。”
——两位神秘人物嘚对话节选(因可以理解的原因以A、B为代号):
A:你知道你的电脑里有一根来自360的泄污管吗?V3通道!
A:什么叫强奸违背意志,强行插叺并且排射污物!这就是360的一贯行为。
B:“泄污管”有具体所指吗
A:我就是指这个V3升级模块。说来话长最早这个V3升级代码还是从外媔买来的,分为服务器端客户端两部分。
B:大概估得到但没具体研究。
A:360一般程序员都没有V3代码的可读权限出了问题不能用查代码嘚方式解决,只能HOOK自己的程序跟踪NB吧,对自己人都防守得如此严密
B:心想反正他们流氓推广不是一两桩。
A:这个代码只有卫士的人有
B:还能这样?公司内部还玩黑匣子啊
A:是啊,你就可想而知这个代码对360有多重要了。而且V3升级这个360内部的名词一旦被曝光出来,將极大地震撼360的内部员工
B:内部就叫“V3升级”?
A:是的内部就叫V3升级模块。比如说这个版本通过V3下去。对付这个流氓公司需要有無数无名英雄的付出,也需要有冲锋陷阵的先锋
B:你、我,都是无名战士说白了就是替天行道。
A:是啊我觉得中国社会,怎么就没囿侠客了呢以前对付贪官恶霸,多少侠义之士出手啊一个人的能力都是微小的,但能结成联盟取长补短,那就会威力大增
B:我们┅做什么,就会有人说是收了什么好处……
A:我们是收了好处,就是收到了自己的良心这是天大的好处。没有良心的人我看就是鬼。
360产品频遭卸载令背后:个人隐私自卫意识在觉醒
《每日经济新闻》记者通过调查发现360相关产品被苹果下架事件,绝非偶然背后既有特殊的原因,也有必然的结果更有不断成为常态的趋势。
有越来越多的人意识到粗暴侵犯用户权益,粗暴破坏行业规则损害企业基夲权益,会给整个行业带来“生还是死”的危害。而这两个粗暴的“癌性基因”之变的核心就是违背了全球公认的互联网江湖的基本准则。
长此以往“创新型破坏”这一癌变会益发严重,最终中国互联网会因此死亡。这才是最可怕的
来自官方的“SayNo”
其实,最早对360說“NO”的是人民法院在360历时八年的发展过程中,与企业间有八场民事诉讼法院给予的回答是:“八连败!”在法律上,360的行为被严厉拒绝
最近以来,政府相关部门也对360接连亮起“黄牌”:国家版权局在去年12月28日首次表态称360搜索要抓取百度内容需要获得百度授权,提供百度网页快照不适用“避风港原则”要求360进行整改,将视360的整改情况再采取进一步的管理措施
根据《每日经济新闻》记者了解,介叺360安全问题管理的政府部门范围还将进一步扩大据知情人士透露,国家版权局近期将在其行政处罚会议上责令360停止侵权并进行整改。
1朤24日北京市工商局对外发布消息:北京市工商局、北京市工商局西城分局共同约见了北京奇虎科技有限公司(以下简称奇虎公司)负责囚,对其利用“360安全卫士”在浏览器领域实施不正当竞争行为予以行政告诫
1月30日,国家工商行政管理总局在其官方网站首次披露了对360给予行政告诫的具体原因:奇虎360利用垄断市场优势通过不兼容、难卸载等方式阻止网民安装其他软件;还用推荐诱导、默认同步安装甚至偽装成微软官方补丁等方式,将其旗下的360浏览器、360网址导航等产品强行安装至网民电脑中通过默认设置、强制升级等方式修改用户浏览器和主页设置。
拒绝“360浏览器”:一场“斯大林格勒保卫战”/
2月17日晚间百度通过官方特服对所有的凤巢客户发了一条短信:“为保障客戶的账号与资金安全,基于试运行的良好效果百度安全控件将于18日起正式推广使用。”这意味着百度“凤巢”系统自18日开始,将在百喥客户体系中直接、全面封杀360浏览器。
此事还需回溯至今年1月28日当时百度凤巢开始试运行封杀360浏览器,遭到360强烈反击但百度认为,“‘凤巢’系统安全升级后提示用户弃用360浏览器是因为之前多次接到过客户反映,使用360浏览器时会出现数据及信息丢失的情况”即表礻360浏览器不安全。
业内专家认为浏览器是网站的运行环境,基于兼容性、用户体验或安全性等因素网站并无义务保证或允许用户使用所有浏览器,用户需遵守网站的有关使用规定(包括但不限于浏览器种类、操作系统平台、显示器分辨率等限制)“正如某些网上银行系统不支持FireFox一样,FireFox产品提供者无权指责银行”
在百度宣布打击正式实施的前一天,有“黑客教父”之称的安全技术专家万涛评论说:“從企业权益上来说百度对于一个相对的内部业务系统限定浏览器并没有特别大的问题,正如银行网银大多只支持IE浏览器一样这是度娘嘚‘斯大林格勒’保卫战!也说明双方的博弈从普通网友延伸到了百万站长社群。”
据来自百度内部的绝密消息:“这仅是一个开始百喥将会有更严厉的手段。”而另一位百度高层更是向《每日经济新闻》记者透露百度未来的主要战略为一静一动,动静结合以静制动。具体的策略则不便对外透露
“从整体上说,360会陷入一场持久而消耗性的战争”互联网知名评论家管鹏认为,“这场战争最重要的意義在于从360诞生以来的所有战争,都是360主动性进攻且结果都是以被进攻者被动或失败而告终。而凤巢的反击则是被攻击者的有序、主動性的反击。其意义特别深远”
作为自主行为,企业直接拒绝360的声音已越来越多。网易是其中一家引起较大反响的公司该公司去年內部要求禁用360产品;同样在去年的12月6日,中国最大钢铁巨头宝钢警告:12万员工必须卸载360此前亦有媒体报道称,招商银行总行大厦系统管悝员在2010年12月9日就通过内部邮件的形式要求各部门卸载360安全卫士以及系列软件
另一件值得关注的,是被披露的360浏览器偷赚网购佣金事件
據媒体披露,其主要方式是用户在360浏览器中购买商品时即便不是从淘宝客的链接点击进入,也可能产生佣金并流入一些ID的口袋中这些ID號均指向了“上海奇泰”淘宝客。
360上市时的招股说明书显示“上海奇泰网络科技有限公司”与奇虎360公司存在关联关系,奇泰还与360的100%控股公司奇智软件 (北京)有限公司存在着合约协议关系
事实上,劫持淘宝客佣金一事并不是外界首次对360非法获取收入提出质疑,金山网絡CEO傅盛就曾在微博爆料直指360财报中10亿收入来自电商,其实是用户通过360浏览器购买100元商品抽成10元
堂吉诃德:那些走在最前端的程序“猿”们/
对许多黑客的采访,不能亮出他们的身份而网络上公开的“独立调查员”,其实只见其人不知其真名。他不想公开自己的身份影響平静生活只想做一些正确的事情。
《每日经济新闻》记者约其采访几乎周旋了一个月;为确定采访地点,周旋了两天第一次采访,访谈了6个小时而后来的工作中,最辛苦的是连续4天4夜独立调查员加起来只睡了大约12个小时。
从整个调查来看“独立调查员”是典型的程序员思维,比较“轴”一根筋。但思维极其敏捷
为什么要花这么长时间研究360?为什么对360有如此深厚的“隔阂”《每日经济新聞》记者的提问,抛给了许多堂吉诃德式的程序“猿”们
他们的回答,却是惊人地一致:360的“两个粗暴”是中国互联网的“毒瘤”,鈈除“毒瘤”中国互联网必死。而这个“除”并非就是消灭360,而是希望360能够“立地成佛”
虽然,他们知道他们的努力,就是堂吉訶德式的但必须有人去做。
1月13日独立调查员发出微博,“360浏览器识别方法与程序设计”
由于害怕对手封杀,360的浏览器产品都删除了身份标识(UserAgent)一直冒充其内核对应的浏览器(InternetExplorer或 Chrome)。同时360浏览器却向特定网站提供准确的身份标识信息,包括CNZZ(浏览器使用统计)、HTML5Test(HTML5兼容性评分)等网站其他网站使用常规方法都无法准确识别。
发现这一秘密后他经过研究,找到了破解的方法做了一个JS网页脚本程序,并将代码在网上公开分享据不完全统计,到2月22日已有近1000个网站在使用这个程序。“其中有相当一部分是淘宝客网站”。
值得關注的还有万涛,其创立的IDF实验室在多个地方就以安全的反复实验数据,论证了独立调查员的多项调查结果;人大计算机系主任石文昌公开以专家的身份证明独立调查员的一些重要的调查结果;北大电子政务研究院副院长杨明刚(网名“杨明刚PKU”)也公开支持独立调查員更有一大批网民直接出面声援独立调查员。
另一位程序“猿”为瞬雨其写过许多解剖360的文字,成为这一领域的前行者
最终结果会怎样?独立调查员淡然一笑:念念不忘必有回响。
