상하이 청년보 (Shanghai Youth Daily) 는 한 참가 전문가의 말을 인용해 "이것은 사용자 안전에 심각한 해를 끼칠 것" 이라고 말했다. 。
앞서 공신부는 360 안전문제에 대한 조사를 공개적으로 발표했지만 아직 권위 있는 기관이 설득력 있는 조사 결과를 발표하지 않았다. 정보연구의 전문기관으로서 중과원이 발표한 보고서는 이 문제 해결을 추진하는 중요한 근거가 될 수 있다.
상하이 청년보' 는 중과원이 브라우저, 인스턴트 메신저, 전자상거래, 커뮤니티 사이트 등 일반적으로 사용되는 인터넷 제품 및 서비스의 프라이버시 보호에 대한 전반적인 연구를 수행했다는 사실도 회의에서 알게 됐다. 기자가 입수한 원시 보고서를 보면, 브라우저 프라이버시 보호 연구 장에서 중과원 정보공학연구소의 연구원들은 360 안전브라우저에 대한 상세한 연구와 분석을 통해 360 안전브라우저에 존재하는 세 가지 보안 문제를 요약했다. 사용자가 연 브라우징 페이지의 주소 수집, 브라우저 주소 표시줄에 사용자가 입력한 정보 수집, 백그라운드 포트 예약, 사용자가 모르는 경우 백그라운드에서
조사 과정에서 연구원들은 전문 기술 수단을 통해 전체 소프트웨어 운영 프로세스와 환경을 철저히 테스트하여 360 에 보안 문제가 있는지 확인하고 실험실에서 여러 차례 테스트를 반복했습니다. 예를 들어, 연구원들은 사용자가 360 보안 브라우저의 주소 표시줄에 전체 웹 주소를 입력하면 360 브라우저는 입력이 완료될 때까지 사용자의 각 입력 데이터를 360 회사의 특정 서버로 순차적으로 보냅니다. 전송된 정보에는 사용자의 고유성을 결정하는 id 가 포함되어 있어 특정 사용자의 주소 표시줄 입력 및 찾아보기 레코드가 쉽게 추적되고 유출될 수 있습니다. 또 다른 분석에 따르면, "이러한 구성 요소는 사기적인 방식으로 컴퓨터에 다운로드되어 360 보안 브라우저의 일부 비특정 기능을 구현할 수 있으며, 사용자 컴퓨터가 악의적으로 침입할 수도 있습니다."
실제로 지난 몇 개월 동안 360 보안 소프트웨어는 보안과 프라이버시 유출의 소용돌이에 빠져 네티즌, 미디어, 의견지도자, 주관부의 의혹을 받고 있다. 유명 위조자 측도 보안 문제에 대해 360 소프트웨어에 여러 차례 의문을 제기하고, 360 이 사용자의 프라이버시를 도용하고, 시스템 패치를 위장하고, 소프트웨어를 번들로 설치하고,' 클라우드 제어' 를 통해 사용자 컴퓨터를 원격으로 통제한다고 고발했다. 360 은 이러한 질문과 의문에 정면으로 대응하지 않고' 경쟁사 박해' 로 분류했지만, 끊임없이 등장하는 실제 사례는 많은 사용자의 관심을 끌고 360 을 제거했습니다. 일부 세계 500 대 기업들도 360 의 모든 제품을 봉쇄했다는 내부 통지를 받았습니다. CNZZ 가 최근 발표한 자료에 따르면 측이 360 을 위조한 이후 360 브라우저의 시장 점유율이 1.6% 하락했고, 보수적으로 유실 사용자는 10 만 명으로 추산됐다.
떠들썩한' 360 프라이버시 유출문' 에 직면하여 10 월 25 일, 65438 공신부 대변인, 통신개발국장은 공신부가 수사측에 개입해 기호 360 브라우저가 사용자의 프라이버시를 훔쳤다고 고발했다고 밝혔다. "만약 확실히 위법 행위가 발견되면 법에 따라 엄숙히 처리할 것이다." 360 은 즉시 제품을 국가 품질 검사총국과 공신부 검사에 자발적으로 보냈다고 발표했다.
360 의 적극적인' 검사' 에 대해 인터넷 억제방어 (IDF) 연구실 창업자, 안전전문가 만타오는 작용이 크지 않다고 생각한다. 만타오는 360 이 클라우드 제어 기술을 사용하여 데스크톱 소프트웨어만 탐지하면 문제를 발견하기가 어렵다고 지적했다. 전체 프로세스와 환경을 감지하고 평가해야만 문제를 더 잘 설명할 수 있다.
중국 인민대 교수 문창은 보안 소프트웨어가 소프트웨어 보안 메커니즘 설계의 중요한 원칙 중 하나에 부합하지 않는다면? -응? 최소 권한 원칙 (POLP 원칙? 의? 최소? Privilege) 대신 특수한 권한, 비기능적으로 필요한 작업을 수행합니다. 시스템 권한 남용은 사용자 시스템의 정보 보안에 영향을 줄 수 있습니다.
회의에 참석한 전문가들은 "중과원의 연구 보고서와 이전 사회 각계의 360 소프트웨어 보안에 대한 의문에 따르면 360 회사가 보안이라는 이름으로 사용자의 프라이버시를 훔치고 누설하는 일련의 행위가 공신부 20 1 1 호령에 의해 공포된' 인터넷 정보 서비스' 를 심각하게 위반했다" 고 밝혔다.
개인 개인 정보 유출 위험 기술 연구 보고서' 는' V 1.0' 으로 표기돼 있고, 발행인은' 중국과학원 정보공학연구소 안전기술공방 중점 실험실' 으로 20121으로 발표됐다
다음은 개인 정보 유출 위험 기술 연구 보고서 (V 1.0) 의 일부입니다.
순서
국내외 개인 프라이버시 유출 사건이 빈번하게 발생하고 개인 프라이버시 보호에 대한 중시가 높아지면서 일상 업무와 생활에서 컴퓨터 소프트웨어, 모바일 단말기, 첨단 기술로 인한 개인 프라이버시 문제에 대한 관심이 높아지고 있다. 중과원 정보공학연구소 보안기술공방 중점 실험실은 자주 사용하는 소프트웨어 및 단말기 제품의 사용자 프라이버시 보호에 대해 초보적인 조사를 실시한 결과, 실험 연구를 통해 프라이버시 보호와 관련된 몇 가지 위험을 발견했다. 이 글은 주로 일반적인 소프트웨어, 네트워크 서비스, 모바일 단말기, 음향 광학 전자기의 네 가지 측면에서 실험실의 연구 성과와 발견을 소개한다. 본 문서의 내용은 사례 분석과 데이터 복제 위주로 관련 부서에서 개인 정보 보호 관련 문제에 대한 중시를 불러일으키고자 합니다.
이 글은 북경대학교 사이버 보안 기술 베이징 중점 실험실의 지원을 받았다.
1? 일반 터미널 소프트웨어 및 사용자 개인 정보 보호
1..1웹 브라우저
사용자 경험을 향상시키고, 개인화된 서비스를 제공하고, 맞춤형 광고 서비스를 개발하기 위해, 많은 웹 브라우저는 일반적으로 백그라운드에서 사용자의 웹 브라우징 기록과 같은 개인 정보를 수집하여 서버에 업로드합니다. 그러나 사용자의 개인 정보를 수집하는 많은 행위는 사용자가 모르는 상태에서 이루어지거나 수집된 정보가 소프트웨어 설치 라이센스 계약의 범위를 벗어납니다.
실험실에서는 360 보안 브라우저의 최신 버전 5.0 을 예로 들어 사용자의 브라우저에 대한 개인 정보 유출을 분석했습니다. 웹 브라우저의 개인 정보 유출 위협은 다음과 같은 측면에 존재합니다.
1) 뒷문 예약, 내장 코드: 일부 브라우저는 사용자가 모르는 사이에 설치 라이센스 계약에 명시된 것 이외의 기능을 백그라운드에서 수행합니다. 360 보안 브라우저는 실행 중 5 분마다 서버와 통신하고 다음 그림과 같이 파일을 다운로드합니다. 다운로드한 파일은 se.360.cn/cloud/cset18.ini 이지만 DataDll 스트림에서 볼 수 있듯이 이 파일은 실제로 PE 파일이며 헤더에 제품 이름이 표시됩니다.
데이터 스트림에서 파일을 추출하여 dll 파일을 가져오고 파일의 속성을 검사하여 파일 설명이 "360 보안 브라우저" 인지 확인합니다. 안전한 온라인 뱅킹. "
이 파일에서 Base64 인코딩된 텍스트 정보를 추출합니다.
W 3n 0xq 0ky 291bnq 9mg 0kw3n 0mv0 cmlkptencnvybd1odhrwoi 8vd 3d 3lmjhawr1 Lmn VBS 9 zzwfyy 2g vcmvzc 2 fmzs 5 odg1skg 0 kw3n 0ml ncmlkptincnvybd1odhrwoi 8 vdmvyawz 5 lmjhawr/kr
디코딩 후 내용은 다음과 같습니다.
[st]
개수 =2
[st 1]
Id= 1
Url= 과 함께 전송된 쿠키에는 사용자 고유성 플래그가 있는 guid 값이 있어 특정 사용자의 주소 표시줄 입력 및 찾아보기 레코드가 추적되고 유출될 수 있습니다.
다음 그림은 사용자가 360 보안 브라우저 5.0 의 주소 표시줄에 "weibo.com" 을 입력하면 브라우저가 현재 브라우저 주소 표시줄의 내용 (예: "w", "we", "Wei", "Weibo", "Weibo", "Weibo") 을 보내는 것을 보여줍니다 , "weibo.c" 및 "weibo.co") 를 sug.so.360.cn 으로 보냅니다.