|  首页  |  资讯  |  评测  |  活动  |  学院  |  访谈  |  专题  |  杂志  |  产服  |  
您现在的位置:硅谷网> 资讯> 软件>

真实的谎言?360浏览器三大权威认证被曝作弊

2013-07-12 11:31 作者:www.guigu.org 来源:大河网 HV: 编辑: 【搜索试试
2013年7月,国内知名软件商奇虎360再度遭遇信用危机,其在2013年3月发布的“360浏览器获国内外三大权威机构认证”被怀疑有作弊行为。此举不仅是对中国社会公信的挑战,也涉嫌欺诈中国全体网民,行为极其恶劣。
 缘起:三大权威机构认证只为“洗白”360浏览器?
 2013年初,《每日经济新闻》(后简称为《每经》)刊发《360黑匣子之谜--奇虎360“癌”性基因大揭秘》专题报道,对360系列软件存在泄露隐私的安全问题进行了详细剖析,引起了公众的关注。为此,奇虎360公司召开新闻发布会,利用弹窗、网站专题等方式表示上述报道为不实新闻,并且起诉《每经》。2013年3月,奇虎360通过多个媒体发布《三大权威机构认证 360浏览器成隐私保护先行者》一文,声称360浏览器同时获得中国软件、中国信息安全测评中心,国际知名安全评测机构英国西海岸实验室国内外三大权威认证,认证360安全浏览器安全可靠,标志着中国浏览器的隐私保护水平达到了国际领先标准。
   图:360浏览器声称获得的三个认证
 360认证涉嫌作弊?还原EAL的真相
 此外,《每经》记者有什么发现呢?原来,360浏览器通过的“国内外三大权威机构”的相关认证涉嫌作弊,其中存在偷换标准概念、“替身式”测试等行为。2月28日,在360召开的“媒体开放日恳谈会”上,360技术工程师声称,“只要过了EAL1,安全性就很有保证了,而EAL2级是公共系统要求,EAL4已经达到了美国军方的标准。”
 但很不幸,EAL2级标准没有360声称的那么高深。安全专家李铁军介绍,“国际上都把CC(1999年12月正式颁布国际标准ISO/IEC15408《信息技术、安全技术、信息技术安全性评估准则》CommonCriteria,简称为CC)作为评估信息技术安全性的通用尺度和方法。CC将评估级分为7级,信息安全产品的测评认证分为7 个级,并分别对应CC 评估标准的7 个级别(EAL1--EAL7)。评估保证级1(EAL1) --功能测试;EAL2--结构测试;EAL3--系统地测试和检查; EAL4--系统地设计(代码);EAL5--半形式化设计和测试;EAL6-- 半形式化验证的设计和测试;EAL7--形式化验证的设计和测试。
 打个比方,EAL1就是功能测试,举个实例看一个电视,能出来影子不,有没有声音;而EAL2就是打开电视机看看,其电路部分齐全不齐全; EAL3则是从方方面面对电视机进行测试;EAL4以上的测试才牵涉到电视机的设计部分(等同于软件的代码)部分。
 中国安全专家、北京知道创宇信息技术有限公司创始人赵伟指出,浏览器对于安全等级的要求比一般的软件产品高,而微软浏览器InternetExplorer则达到”EAL4+“级。此外,国内主流的防火墙厂商如华为、天融信等一般都达到EAL3.他说:”像所谓安全浏览器此类对于高度敏感的基于云服务的登录管家模块,最少要做EAL4级评估,只做到EAL2级评估纯属隔靴搔痒、无实际意义。“
 其实,专业人士也都知道,360浏览器到底有没有偷窃用户隐私的后门,是要对代码进行彻底审查才知道的啊,但这只有在EAL4+以上级别才有可能,所以360没有像IE一样真刀实枪的干,而是玩了个花招,弄个了EAL2糊弄一下老百姓,结果很不幸,还被逮了个正着。
 360送检上演穿越:用未来版检测结果证明过去是清白的
 如果说EAL这些检测体系太复杂,咱们老百姓看不懂也就算了。但更惊悚的一幕还在后面,在送检中国信息安全测评中心的时候,360居然玩起了”穿越“,将未来的版本狸猫换太子,以”未来版“的检测结果证明过去是清白的。
 一位深度参与相关评测工作的业内专家提供证据指出,2012年10月,360送检的测试样本”有问题“,其主要问题有:其提供的样本监测目标,仅为针对其安全浏览器的登录管家模块:串号登录问题;评测报告并未注明所代表的产品版本,仅能看到评测模块的版本为”1.2.0.1071“;更为蹊跷的是,评测报告发表当日,从360官方下载的最新浏览器登录管家模块版本却是”1.0.8.1070“,明显低于送检版本,而送检版本属”未来“版本。
 该专家进一步指出,2012年10月29日,360向中国软件评测中心送检了评测,评测目标是:360安全浏览器数据上传下载已加密,并经过用户许可;360安全浏览器可以正常安装和卸载;以及360安全浏览器的 ”云查询“功能以密文方式加密传输。但技术验证报告,却没有注明具体的产品版本和模块版本。
 如果这个事实成立的话,估计360浏览器就是负荆请罪也不够给网民赔礼的,这不是典型的挂羊头卖狗肉的行为吗?
 STARCHECK认证是山寨版?美国西海岸实验室网站的蹊跷
 那么,360引以为傲的通过了 ”东方之星(Starcheck)认证“,据说是国际上着名的评测认证,由美国西海岸实验室实施认证。如果达到”东方之星(Star check)认证“,则表明该产品已达到较高水平。
 但事实上,就在我们想深入了解一下STARCHECK认证的时候,却发现了一项蹊跷的事实--不论是谷歌或是在美国西海岸实验室的官方网站上,压根就搜索不到STARCHECK认证,相反,其官方认证的体系是Checkmark.
 
  图:美国西海岸实验室的官方网站截图
 再寻找一下Starcheck的来源,就真相大白了。原来,在中国网”西海岸实验室落地中国的报道中,就明确提出了,近日,西海岸实验室中国测评认证机构--赛可达实验室正式对外宣布西海岸实验室落地中国,并颁发第一批”东方之星(Starcheck)“测评证书。可见,这个Starcheck只是个中外合作的认证项目,难怪在国外的官方网站上提都没有提,这样的”权威性“可见一斑。
 而《每经》还通过调查发现,360和评测机构的关系也很不一般。从公开信息中可以查到,2012年3月,工信部发布了《关于申报2012年度电子信息产业发展基金招标项目的通知》,中国软件评测中心智能移动终端测试实验室对相关项目进行了积极的研究和探讨,并最终和北京奇虎科技有限公司携手成功申报了《移动互联网智能手机终端个人信息保护软件研发》项目。这一信息表明,360与中国软件评测中心有重大项目合作关系。而奇虎360公司副总裁石晓虹代表360公司,先后参与了国家计算机网络与信息安全管理中心、中国信息安全测评中心等多家单位的科研项目,并作为项目负责人。知名博主独立调查员认为,”作为中立的评测机构,坚持独立性是最为重要的,但这些机构与360有这样密切的关系,这样的评测很容易有失偏颇。“
 不过,这些都还是其次。最为关键的是什么呢?独立调查员指出,360提供的”第三方测评“,其测试对象只是产品本身,不涉及其产品运营体系。换而言之,就是说,360如果涉嫌窃取隐私,肯定是团伙作战,既有客户端的软件,也有服务器的指令,而这整个体系,是当前这些测评都无法也不可能去真正评测的。如此看来,这些所谓的”权威“认证,更像是360本身编织的”皇帝新衣“,而随着事实真相被一点点揭露出来,360所谓的”安全产品“也渐渐露出了原形。
【对“真实的谎言?360浏览器三大权威认证被曝作弊”发布评论】

版权及免责声明:
① 本网站部分投稿来源于“网友”,涉及投资、理财、消费等内容,请亲们反复甄别,切勿轻信。本网站部分由赞助商提供的内容属于【广告】性质,仅供阅读,不构成具体实施建议,请谨慎对待。据此操作,风险自担。
② 内容来源注明“硅谷网”及其相关称谓的文字、图片和音视频,版权均属本网站所有,任何媒体、网站或个人需经本网站许可方可复制或转载,并在使用时必须注明来源【硅谷网】或对应来源,违者本网站将依法追究责任。
③ 注明来源为各大报纸、杂志、网站及其他媒体的文章,文章原作者享有著作权,本网站转载其他媒体稿件是为传播更多的信息,并不代表赞同其观点和对其真实性负责,本网站不承担此类稿件侵权行为的连带责任。
④ 本网站不对非自身发布内容的真实性、合法性、准确性作担保。若硅谷网因为自身和转载内容,涉及到侵权、违法等问题,请有关单位或个人速与本网站取得联系(联系电话:01057255600),我们将第一时间核实处理。
广告
相关
·快手斩获金网奖全场大奖,见证短视频社交真实的
·寻找跃界者,首届360小程序创新大赛重磅开启!
·凯钿科技PDF Reader预装360 OS系统 携手奇虎
·流量驾到!96%的手机品牌都采用360搜索(图)
·【经验分享】专业的H5页面设计工具 epub360
·360推广“爱回家”营销案例,场景思维赋能营销
·被骗300万 360手机卫士提醒谨防“特派员”骗局
·威盛在上海发布威盛Mobile360 ADAS样品套件
头条
多种流行iOS应用程序未经用户同意读取剪贴板内容 多种流行iOS应用程序未经用户同意读取剪贴板
据Macrumors报道,最新研究显示数十种流行的iOS应用程序,在未经用户同意的情况下,读……
·多种流行iOS应用程序未经用户同意读取剪贴板
·苹果应用商店禁止非官方新型冠状病毒相关应用
·微软终止支持Windows 7数月 Windows 7仍占市
·苹果新增多项审核条例,微信适配速度不敌What
·“魔搜”软件开发者张某被判刑1年2个月缓刑1
图文
多种流行iOS应用程序未经用户同意读取剪贴板内容
多种流行iOS应用程序未经用户同意读取剪贴
喜报I纷享销客携手飞书深诺集团构建多元化数字经营体系
喜报I纷享销客携手飞书深诺集团构建多元化
知米背单词APP那些不为人知的小细节(图)
知米背单词APP那些不为人知的小细节(图)
Realme引入广告什么情况 Realme广告怎么设置关闭?
Realme引入广告什么情况 Realme广告怎么设
最新
·多种流行iOS应用程序未经用户同意读取剪贴板内容
·喜报I纷享销客携手飞书深诺集团构建多元化数字经
·狂奔之后RPA企业开始精耕细作:建生态、补短板、
·微软子公司GitHub同意收购代码分发初创公司NPM
·喜报:纷享销客携手深诺集团构建多元化数字经营体
热点
·群控、云控时代即将终结,智控时代已到来
·106短信群发平台APP,致力于成为领域内佼佼者
·DT小听App:防偷拍,还是用这款国产app(图)
·软件技术行业发展变化非常快,软件人才要按需
·嗨学网一级消防可靠吗?新手妈妈亲生经历告诉
旧闻
·360手机助手安全播报:警惕二把刀GPS导航软件
·用户称iOS 8.1仍然没有解决iPad蓝屏问题
·智慧商贸进销存“慧”营销 商品套餐灵活销售
·陌陌成色情交易重灾地 移动端色情交易亟待封
·Q立方2.0 beta1新版发布:新增语音助手
广告
硅谷影像
多种流行iOS应用程序未经用户同意读取剪贴板内容
多种流行iOS应用程序未经用户同意读取剪贴板内容
喜报I纷享销客携手飞书深诺集团构建多元化数字经营体系
喜报I纷享销客携手飞书深诺集团构建多元化数字经
狂奔之后RPA企业开始精耕细作:建生态、补短板、推进市场落地
狂奔之后RPA企业开始精耕细作:建生态、补短板、
微软子公司GitHub同意收购代码分发初创公司NPM
微软子公司GitHub同意收购代码分发初创公司NPM
喜报:纷享销客携手深诺集团构建多元化数字经营体系
喜报:纷享销客携手深诺集团构建多元化数字经营体
苹果加强管控 多款iOS应用盗取用户隐私存安全隐患
苹果加强管控 多款iOS应用盗取用户隐私存安全隐患
关于我们·About | 联系我们·contact | 加入我们·Join | 关注我们·Invest | Site Map | Tags | RSS Map
电脑版·PC版 移动版·MD版 网站热线:(+86)010-57255600
Copyright © 2007-2020 硅谷网. 版权所有. All Rights Reserved. <京ICP备12003855号-2>