|  首页  |  资讯  |  评测  |  活动  |  学院  |  访谈  |  专题  |  杂志  |  产服  |  
您现在的位置:硅谷网> 资讯> 软件>

360安全浏览器"偷梁换柱"上架苹果又悄然被下架

2013-07-04 12:53 作者:www.guigu.org 来源:每日经济新闻 HV: 编辑: 【搜索试试
  在长期关注信息安全漏洞相关问题的乌云漏洞报告平台上,曾有专业人士披露过很多关于搜索引擎和云相关的安全问题报告。乌云漏洞报告平台负责人认为,期货、股票的操作信息与账号等隐私信息是互联网上最机密的部分,在任何情况下,被第三方抓闰获得的可能性都几乎可以忽略不计,但为什么某些特殊搜索引擎如360却可以获得呢?

  该负责人指出,金融无疑是全球安全级别最高的行业之一,该体系完全是一个闭环,它们就像完全意义上的密封“孤岛”,外人一般只能在外围“转悠”,很难进入到系统内部,也就是说,传统的搜索引擎从外部根本无法抓取到这些“孤岛”的信息,除非借助用户需要使用的某些强大客户端如浏览器,搜索引擎才可以直接抓取用户终端上的访问记录和数据。

  对于360能够蹊跷获得这些机密信息的原因,微博名人、程序员“独立调查员”解释说,不管证券行业安全级别有多高,体系是多么繁琐可靠,只要用户上网的入口产品是360系列,或者安装了360的网络安全产品,这些“孤岛”或者隐私信息,都存在被上传到360服务器的可能性。

  独立调查员否定了这是通过360后门机制来截取的可能性。他分析说,360安全卫士拦截并上传用户浏览行为的技术手段,与网络工程师常用的网络抓包分析工具类似。不同的是,360安全卫士只需要实时拦截并分析HTTP协议数据包,从中提取用户访问的目标网址,其拦截过程与结果对用户来说都不可见,这并非360安全卫士的后门,而是其固有功能,但此功能对用户而言是个黑匣子,这个黑匣子对用户隐私安全形成理论上的可能威胁。

  独立调查员感慨道,对于360上传这些商业机密数据的情况,目前外界还知之甚少。不过可以想象的是,一旦360服务器被黑客攻克,或者这些数据被360泄露或滥用,对中国网络和经济安全可能是灾难性的。

  据陈明回忆说,上述隐私素材均为当年从upload.360safe.com网站下载所龋.

  2010年12月30日6时38分,百度贴吧上一位名为“爱wu痕”网友发布了一条信息:看看这里面360都搜集了什么啊?这条信息后面附上了一个360存储收集用户信息的下载地址。

  “上述公开链接被谷歌搜索爬虫抓润,进入谷歌网页库,被网友搜索到,大公开。”陈明表示,他也在第一时间按照上述链接网址下载了相关的数据。

  此后,更多的专业人士加入了下载、分析的行列,甚至他们在安全论坛“kafan”讨论此事。很快,360员工发现了服务器信息泄露的事实,随后在当天10时30分左右关闭了upload.360safe.com/url_files/目录浏览权限,12时30分左右移除了此文件目录。

  360服务器记录的内容,为何会被谷歌抓取泄露?这可能是众多人看到这些被泄露在外的信息时的最大疑问。

  “当时,360在第一时间对外表示,其服务器外泄用户隐私的真相,是360一台服务器遭黑客攻击,导致少量数据外泄,被谷歌搜索引擎抓龋”但在陈明看来,“此次360服务器用户隐私的数据泄密更有可能的原因是目录权限没配置好,而不是遭遇黑客攻击。黑客攻击获取到用户隐私数据后应该是直接使用以谋利,怎么会通过贴吧论坛的方式无偿对外公开呢?”

  据《每日经济新闻》记者了解,根据搜索引擎爬虫(一种自动获取网页内容的程序)原理,那些未被公开网址的目录或文件,网络访问者(包括网民和搜索引擎爬虫)是无法浏览或抓取的,而一旦网址被公开,搜索引擎爬虫再次光临该网站时,就能顺藤摸瓜地抓取到那些目录或文件。

  这正是360服务器隐私数据链接被张贴在百度贴吧后很快被谷歌搜索引擎爬虫抓娶并被网民搜索到的原因,否则那些隐私数据即使出现权限控制问题,也是一个信息“孤岛”,爬虫照样触不可及。

  独立调查员进一步指出,360已经建立了一套“孤岛”信息收集机制,其抓取的部分信息会直接在360搜索引擎上展现,而更多更隐私的内容或许会永远躺在360服务器中,直到被挖掘利用、或被泄露。

  一个可以借鉴的真实故事是:去年9月,百度工程师针对360搜索展开的“鬼节捉鬼”实验已经证明:只要使用360浏览器访问“孤岛”页面,360服务器很快就能抓取这些页面内容,并完全在360搜索中展现出来。

  随后一个月,百度某高管在一次面向全国100家媒体开放日的非正式会议上,现场演示了一个360搜索引擎抓取手机用户支付结果页面的截图。这些页面与支付宝付款结果页面类似,上面也有用户姓名、手机号等敏感信息。根据360搜索页面结果,这么复杂的链接,爬虫是如何发现的?它的出处在哪里?为何搜索结果的数量有39万之多?为什么直接点击无法访问?360此举动引发了相关政府部门的介入。
【对“360安全浏览器"偷梁换柱"上架苹果又悄然被下架”发布评论】

版权及免责声明:
① 本网站部分投稿来源于“网友”,涉及投资、理财、消费等内容,请亲们反复甄别,切勿轻信。本网站部分由赞助商提供的内容属于【广告】性质,仅供阅读,不构成具体实施建议,请谨慎对待。据此操作,风险自担。
② 内容来源注明“硅谷网”及其相关称谓的文字、图片和音视频,版权均属本网站所有,任何媒体、网站或个人需经本网站许可方可复制或转载,并在使用时必须注明来源【硅谷网】或对应来源,违者本网站将依法追究责任。
③ 注明来源为各大报纸、杂志、网站及其他媒体的文章,文章原作者享有著作权,本网站转载其他媒体稿件是为传播更多的信息,并不代表赞同其观点和对其真实性负责,本网站不承担此类稿件侵权行为的连带责任。
④ 本网站不对非自身发布内容的真实性、合法性、准确性作担保。若硅谷网因为自身和转载内容,涉及到侵权、违法等问题,请有关单位或个人速与本网站取得联系(联系电话:01057255600),我们将第一时间核实处理。
广告
相关
·苹果加强管控 多款iOS应用盗取用户隐私存安全隐
·应对远程办公带来的网络安全威胁,信源豆豆有妙
·疫情下的危机,如何通过“信源豆豆”实现企业安
·谷歌宣布逐步阻止Chrome浏览器下载不安全文件
·谷歌研究人员在苹果Safari浏览器中发现多个安全
·翼支付再次获得ISO 27001:2013认证 信息安全管理
·双十一安全攻略!买买买时必须注意这一点~~
·ESET安全日中国场聚焦应对网络安全威胁的最佳实
头条
多种流行iOS应用程序未经用户同意读取剪贴板内容 多种流行iOS应用程序未经用户同意读取剪贴板
据Macrumors报道,最新研究显示数十种流行的iOS应用程序,在未经用户同意的情况下,读……
·多种流行iOS应用程序未经用户同意读取剪贴板
·苹果应用商店禁止非官方新型冠状病毒相关应用
·微软终止支持Windows 7数月 Windows 7仍占市
·苹果新增多项审核条例,微信适配速度不敌What
·“魔搜”软件开发者张某被判刑1年2个月缓刑1
图文
多种流行iOS应用程序未经用户同意读取剪贴板内容
多种流行iOS应用程序未经用户同意读取剪贴
喜报I纷享销客携手飞书深诺集团构建多元化数字经营体系
喜报I纷享销客携手飞书深诺集团构建多元化
知米背单词APP那些不为人知的小细节(图)
知米背单词APP那些不为人知的小细节(图)
Realme引入广告什么情况 Realme广告怎么设置关闭?
Realme引入广告什么情况 Realme广告怎么设
最新
·多种流行iOS应用程序未经用户同意读取剪贴板内容
·喜报I纷享销客携手飞书深诺集团构建多元化数字经
·狂奔之后RPA企业开始精耕细作:建生态、补短板、
·微软子公司GitHub同意收购代码分发初创公司NPM
·喜报:纷享销客携手深诺集团构建多元化数字经营体
热点
·群控、云控时代即将终结,智控时代已到来
·106短信群发平台APP,致力于成为领域内佼佼者
·DT小听App:防偷拍,还是用这款国产app(图)
·软件技术行业发展变化非常快,软件人才要按需
·嗨学网一级消防可靠吗?新手妈妈亲生经历告诉
旧闻
·360手机助手安全播报:警惕二把刀GPS导航软件
·智慧商贸进销存“慧”营销 商品套餐灵活销售
·陌陌成色情交易重灾地 移动端色情交易亟待封
·Q立方2.0 beta1新版发布:新增语音助手
·用户称iOS 8.1仍然没有解决iPad蓝屏问题
广告
硅谷影像
多种流行iOS应用程序未经用户同意读取剪贴板内容
多种流行iOS应用程序未经用户同意读取剪贴板内容
喜报I纷享销客携手飞书深诺集团构建多元化数字经营体系
喜报I纷享销客携手飞书深诺集团构建多元化数字经
狂奔之后RPA企业开始精耕细作:建生态、补短板、推进市场落地
狂奔之后RPA企业开始精耕细作:建生态、补短板、
微软子公司GitHub同意收购代码分发初创公司NPM
微软子公司GitHub同意收购代码分发初创公司NPM
喜报:纷享销客携手深诺集团构建多元化数字经营体系
喜报:纷享销客携手深诺集团构建多元化数字经营体
苹果加强管控 多款iOS应用盗取用户隐私存安全隐患
苹果加强管控 多款iOS应用盗取用户隐私存安全隐患
关于我们·About | 联系我们·contact | 加入我们·Join | 关注我们·Invest | Site Map | Tags | RSS Map
电脑版·PC版 移动版·MD版 网站热线:(+86)010-57255600
Copyright © 2007-2020 硅谷网. 版权所有. All Rights Reserved. <京ICP备12003855号-2>