360产品内藏黑匣子：工蜂般盗取个人隐私信息 每经记者 秦俑 这是一件真实的事情：多年前，业内一家知名IT公司一个产品将上线，但蹊跷的是，该产品上线前一天，360的同类产品突然上线。而且，360上线产品的页面与该公司准备上线的版本几乎一模一样。这家IT公司的此款产品不上线已不可能，而改版也已不可能。被逼无奈之下，该产品只能硬着头皮上线。让这家IT公司哭笑不得的是，由于此款产品上线时间比360同类产品晚一天，所以用户普遍认为，该公司的产品抄袭了360产品。 此类诡异怪事，在业内已不止一次发生。 谁是泄密者？上述IT公司最终未能找到“卧底”，不过开始将质疑对象聚焦在360产品身上。因为实查结果发现，该公司不少员工电脑上安装了360相关产品。 出于安全考虑，该公司要求所有员工的工作电脑中不得安装360产品。与此同时，公司内网环境中，全面禁止360产品。从此，确实没有再发生过类似的泄密情况。 据《每日经济新闻》记者了解，国内最早全面禁用360产品的企业为腾讯、百度、金山等一批公司。在这些公司的办公环境中，完全屏蔽360产品，如确因公司研究性工作需要，才可以安装虚拟机使用360产品。

据《每日经济新闻》记者了解，国内最早全面禁用360产品的企业为腾讯、百度、金山等一批公司。在这些公司的办公环境中，完全屏蔽360产品，如确因公司研究性工作需要，才可以安装虚拟机使用360产品。 国内几家互联网巨头公司，均以安全为由禁止使用一家以互联网安全著称的公司的相关产品，这在中国IT界构成了一道未解的谜团。 大型公司尚且对360产品避之不及，对于普通用户来说，使用360相关“安全”产品，安全吗？ 在中国有“黑客教父”之称的安全技术专家“黑客老鹰”，即IDF互联网情报威慑防御实验室创始人万涛认为，从隐私保护和用户权益的角度讲，360产品确实存在需要澄清的地方。但中国用户目前在隐私保护方面的意识并不强，这是一个比较普遍的现象。因为对许多用户来说，“我上网就是看看新闻，玩玩游戏，我没有隐私”。这一观点非常流行。 万涛表示，而在另一方面，多年来尽管民间在破获360侵犯隐私等方面做了许多努力，并查获了许多证据，但360在这方面的“反应”也非常“严密”。此外，获得的一些突破性证据因为过于专业，也不易让普通用户看懂，因此也就缺乏相应的感知。

黑客揭秘：360安全产品背后的“安全”陷阱 在深圳红树林，独立调查员为《每日经济新闻》记者进行了现场演示。他特意在自己的电脑上安装了360安全浏览器，并打开网络通信监视工具，这时可以看到，360安全浏览器在其电脑后台上就像一只工蜂，始终不停地忙碌着。 然后，独立调查员又打开IE、腾讯、猎豹、chrome等浏览器，每一个浏览器都很安静，没有任何动作。 “360安全浏览器在干嘛呢？谁也不知道。为什么要这样忙碌呢？作为浏览器，其作用就是可以显示网页服务器或者文件系统的HTML文件内容，并让用户与这些文件交互的一种软件。根据最小特权原则，你是没有理由在我的电脑里不停地‘工作’。你要问他在做什么，他就说，是为了你的安全。” “明明知道360在做不应该发生的事情，但不知道发生的是什么事情。这就是360留给中国所有安全专业人员最大的课题。”独立调查员解释说，这是因为360在这方面做了非常缜密的设计，其防御体系相当严密，要突破防线有所收获，是件非常困难的事情。 而这，也正是许多从事安全的专家们感兴趣的事情。 2010年2月6日，360多年的

2010年2月6日，360多年的宿敌——瑞星拿出了一份 “证据”，其发布的《奇虎360利用“后门”拿走了用户什么》一文，利用大量技术细节说明360安全卫士在安装进用户电脑时，会偷偷开设后门，并时刻监视用户访问网站，将相关信息上传至360网站。 此事标志着360第一次露出“不安全”的真面目，从此一发而不可收拾。 据《每日经济新闻》记者调查，国内有一大批黑客对破获360的防线，以及搞明白360这个黑匣子内到底有什么非常感兴趣，想通过攻击360而获得其侵犯用户隐私信息的证据。他们之间甚至有一个松散型的组织，经常交换这方面的信息。但与此同时，也有些黑客最终被360“招安”，成为其公司成员。 2010年12月31日，在黑客狂轰滥炸360服务器后，360防线被攻破，存储于其服务器上的大量用户隐私数据喷涌而出，被 谷歌 (微博 )搜索爬虫自动抓取，并公告天下。360多年来宣称的 “用户隐私大于天”的谎言正式被揭穿。

上图为某网民通过360safe.com泄露的数据登录某政府机关的内部邮箱 这份意外泄露的文件详细记录了大量360用户的全网访问过程，包括浏览的网页、 下载 过的应用、搜索的关键字等，并将这些访问记录与唯一用户挂钩。在这个服务器中，每个用户对应一个字符串，通过查询字符串，可以了解用户的所有个人信息、上网浏览记录、账号密码，例如用户在百度搜索关键字、淘宝购物记录、金蝶、奇瑞等企业内部财务网络数据、某政府机构官方邮箱用户名及密码等链接数据。 《每日经济新闻》获得的一份对泄露日志文件分析统计的结果显示，此次泄密事件涉及总条数141万条，其中涉及用户名信息的条目有247326个，既包含用户名又包含密码条目有816个。而这对于360收集的海量数据来说只是冰山一角，截至目前为止，360从没有公开解释被泄露的数据总量有多少，被下载了多少次。 然而，有关360如何“利用”用户的信任，如《全民公敌》影片中的卫星一样“间谍”式地监控着用户的电脑，这个谜团却依然没有办法破解，至今没有一家安全厂商拿出这个过程的有力证据。

用的安卓优化大师

然而，有关360如何“利用”用户的信任，如《全民公敌》影片中的卫星一样“间谍”式地监控着用户的电脑，这个谜团却依然没有办法破解，至今没有一家安全厂商拿出这个过程的有力证据。 独立调查员告诉记者，360安全卫士、360安全浏览器，其内部运作流程就像一个暗箱，外部人可以听到里面有动作，但却没有办法知道里面发生了什么，以及它如何阻止外部人破解它。 而独立调查员却偏执地选择了这条破解之路。他先制作了一张简单的图表，以揭示360拳头产品360安全卫士内部的操作模型（如图）。 从这个图中可以看出，360安全卫士对用户在电脑上进行软件操作、文档操作等所有操作举动均秘密进行监视、记录，然后进行压缩后上传至云端服务器；过去，上传的过程为明文上传，这对用户的隐私带来非常严重的威胁，在经历过几次大的泄密事件后，目前上传文件已经加密。 文件上传到360云端存储后，文件会立即在本地被删除，这招防御术非常凶狠，即使有人破解其行为，并获得文件证据，但因为随时的删除，很难将证据做实，变成死无对证的孤证。

用户电脑中的360安全卫士这一套运行机制都是事先预设好的，可以独立操作完成；但实际上，360云端（360安全数据中心）对用户客户端的360安全卫士具备直接控制能力。360云端不仅可以下达专门的指令（后文还将详述），同时一旦360安全卫士发现有人在监视其通信操作等，会发出安全警告以阻止继续操作并限时自行禁止。这也给破获工作带来相当程度的干扰。 据一名多年研究360产品的黑客告诉《每日经济新闻》记者，“设置如此高难度障碍的人一定是行业的高手。可以断定，360内部一定有国内顶尖级的黑客高手。他们才有可能做到既做暗事，又不留任何把柄。这就像是一个江洋大盗，来无影，去无踪，飘忽不定，作案后现场不留任何痕迹，实在是高精尖的设计。” 这名黑客发现，360安全卫士的暗箱操作行踪越来越没有规律可循，换句话说，其运作规律经过精心策划，非常不容易被外界掌握。同时，其获取信息的区域半径越来越由中心城市向二、三、四线城市延伸。这样的话，要想抓到证据就更为艰难。“中国拥有30多个省级行政区，336个二级行政区，还不包括数以千计的三级、四级行政区，这就相当于360安全卫士在中国网民的生活中布下了天罗地网。”

独立调查员告诉记者，这份13分36秒的视频以完整的手法记录了破获360窃取用户隐私的证据。它证明了360在用户电脑中收集、上传用户信息的“动作”，“猖狂到任何简单的、常规的软件操作行为都将被记录，与安全问题完全无关，而这些信息都在用户个人隐私范畴”。 但据独立调查员宣称，这份视频资料并非其采集、制作，“而是来自一名自称是安全领域专家的匿名人士”，他通过微博私信向独立调查员爆料：自己已经掌握了360安全卫士7.3窃取用户隐私并上传到360服务器的司法证据，现在可以无偿将这段司法证据给他。 而关于这份证据，独立调查员认为，将是未来给360的“一颗小小的炸弹”，在法庭上是有力的呈堂证供。 据记者了解，去年11月28日，在易观国际主办的“易士堂”网络安全论坛（第二季）论坛上，这份视频资料也曾分享给包括国家信息中心、中国信息安全测评中心等安全业界人士；而最初制作这段视频并进行司法公证的正是金山安全专家李铁军( 微博 )。不过李铁军否认自己就是给独立调查员爆料的匿名人士

据李铁军透露，2010年11月，卡饭安全论坛有人爆料称“360安全卫士7.3的某个版本会窃取用户隐私上传到360服务器”，爆料的内容非常简单，只提供了一个有趣的细节暗示：需要用户在360loginfo目录对删除权限做一个修改才有可能捕捉到360的罪证，帖子不久就消失了。 李铁军首先尝试重现帖子描述的问题，而不是对软件进行逆向分析，经过数月才完成了这一个证据的抓取。 “反反复复不知道试了多少回。”李铁军对《每日经济新闻》记者表示，凭借多年的经验，他终于找到了关键所在，比如有窃取隐私问题的360安全卫士版本号为7.3.0.2003l，数字签名时间为2010年11月8日，要想重现必须将360loginfo访问权限修改为“所有人不可删除”；再比如安装时修改系统时间与2010年11月8日不能相差太久，安装前须断开网络（禁用网卡或拔网线）。 即使这样，也有一些情况在李铁军“意料之外”。 “开始想到的是禁用网卡和改360loginfo目录的访问权限，但奇怪的是，有时能在安装后几分钟内即可在360loginfo目录看到日志生成，有时等几小时都不能重现，于是尝试将系统日期从单数修改为双数或从双数修改为单数，结果很快看到奇怪的日志文件出现了。”李铁军表示，这几条重现规则是反复多次尝试之后才总结出来的。

说白了，360会偷窃用户隐私，还可以想黑客一样操控你

独立调查员发现，360浏览器网络通信有非常异常的情况，“最开始只是发现其时间周期性：每隔5分钟，浏览器就主动发起一次与服务器之间的通信过程，虽然不知道在干嘛，但其短周期性非常可疑。” 为什么不打开任何网页、不动键盘和鼠标，360浏览器依然忙个不停呢？“国内外所有的知名浏览器都不会存在这样的行为模式。可以肯定，此中必有蹊跷”。 于是，他继续追查，虽然下载的文件名是文本文件（ini），但当他把数据包拼接成文件后一看 （当时尚不知道服务器IP地址对应域名，受服务器限制未能通过网址直接下载文件，也尚未注意到文件被暂存于临时文件夹），实际是个DLL（可动态加载的程序模块）。“以我的知识和经验，很快意识到问题的严重性——以更新配置文件为耳目、周期性下载并加载执行小程序——这是一个后门。至于360利用它做什么、曾做过什么并非重点，重点是他们可以做任何事而不为人知、不留痕迹。”

LBE华丽飘过。

N年前就知道了，不过跟我们好像没有太大关系，我们没有东西值得他们窃取。因为我们还是如此的渺小。

不过我个人不喜欢用368，所以用了LEB

不用安全软件的飘过～

这个事件是去年爆出来的，而且腾讯，百度等企业明显是在打压竞争对手，其中的是是非非我们是不得而知了

楼主怎么知道的？