» IDF报告全文：360安全卫士涉嫌窃取用户隐私主页 > 文章 / 菊花供应商 / 发布于 2012年 11月27日(星期二) 0时21分 / 浏览:4369 评论:79 收藏:5 / 举报文章收藏5私信评论79分享曾经有一把菜刀，360和周总拿着它砍向了流氓软件，而如今这把菜刀砍向了我们。曾经有很多人面对“侵害”，有心杀贼，无刀杀敌，我希望更多的程序员都出来，为互联网的公平和正义提供更多的“菜刀”。IDF互联网威慑防御实验室发布日期：2012年11月25日IDF互联网威慑防御实验室是一个民间信息网络安全爱好者的技术俱乐部机构，骨干成员由相关领域的专业人士、技术人员和业余爱好者共同组成。IDF实验室的研究方向主要集中在：互联网威胁发展趋势、终端安全管理、无线网络通讯安全、僵尸网络等技术领域和产品研究上。IDF实验室面向广大信息网络安全爱好者提供计算机安全知识普及教育、参与对业界相关领域产品、发展动态进行客观的、独立的技术、市场研究与评估，为民间信息网络安全爱好者成长为专业安全技术从业人员提供平台和桥梁。目录一、检测背景................................................................. 4二、 检测目的............................................................... 4三、 关于360公司隐私保护......................................... 4四、目标检测软件......................................................... 7五、检测环境及工具...................................................... 8六、360安全卫士隐私泄露检测..................................... 81、检测环境准备............................................................. 8a、系统时间设置............................................................. 8b、安装360安全卫士....................................................... 9c、关闭自动升级和云安全计划..................................... 9d、修改文件夹选项.......................................................... 9e、设置Temp目录“安全”选项卡................................. 102、用户信息搜集及上传检测.......................................... 10七、360安全卫士涉嫌“搜集用户隐私”检测结果....... 14八、附录一.......................................................................... 171、@Royflying原帖与本报告行为检测项对比.................. 172、 《一把菜刀：360搜集隐私程序员级分析》............. 18九、 附录二......................................................................... 221、 修订信息.................................................................... 222、 致谢................................................................................ 22一、检测背景2012年10月12日，方舟子转发了新浪微博网友 @Royflying 的爆料帖《一把菜刀：360搜集隐私程序员级分析》质疑360安全卫士搜集用户隐私。此帖指出“360安全卫士频繁上传大量的信息到服务器，会将大量用户使用其他软件的信息上传到服务器，用户无法知道上传信息的详情，也无法阻止这些信息的上传。这些信息将会暴露用户的生活习惯、作息时间，以及比较私密的软件操作。”二、检测目的该报告的目的是基于新浪微博用户 @Royflying 所发微博《一把菜刀：360搜集隐私程序员级分析》中所描述内容及测试方法做的二次验证检测，旨在证实其微博中所描述的360安全卫士涉嫌搜集窃取用户隐私的内容、检测现象、检测手段是否准确、真实、不可抵赖，以验证360安全卫士是否存在在对用户宣传承诺的同时，搜集、窃取用户隐私的问题，从而威胁普通用户信息安全及系统安全。三、关于360公司隐私保护本文档摘取《360用户隐私保护白皮书2.0版》(在2010年10月发布的第一版基础上，增加了移动互联网产品的内容：中部分内容，以陈述360公司对于个人隐私信息以及360安全软件上传信息的声明。四、目标检测软件360安全卫士：版本：v7.3.0.2003l安装包大小：17.9 MBMD5：8FB5774B68133D6CAAC3A2860187BE6F下载地址：如果不能下载或者MD5不匹配，则说明360已经替换该版本安全卫士安装包，请从其他地方搜索下载，注意数字签名时间戳要在2010年11月8日之前。五、检测环境及工具虚拟机环境：VMware Workstation 版本：8.0.5下载地址：操作系统：Windows XP Professional SP3检测工具：Wireshark下载地址：六、360安全卫士隐私泄露检测我们通过如下操作检测360安全卫士 v7.3.0.2003l是否存在有搜集用户信息并上传到服务器的行为，旨在验证《一把菜刀：360搜集隐私程序员级分析》帖子中所描述内容是否真实、准确、可信。1、检测环境准备为避免其他软件或系统干扰，此处选择在虚拟机环境下安装Windows XP SP2操作系统，文件系统为NTFS。向系统内拷贝测试用常规软件安装程序。a、系统时间设置调整系统时间到2010年11月11日，以真实还原该版本安全卫士软件行为。若当前系统时间离数字签名时间2010年11月8日较远，会干扰检测过程及检测结果。b、安装360安全卫士在安装360安全卫士 v7.3.0.2003l的过程中须断开网络连接，可禁用网卡或断开网络连接，虚拟机中可以选择设置断开网络连接，以防止360云计划对配置文件进行更新。c、关闭自动升级和云安全计划360隐私保护中包含“可以随时选择退出‘360云安全计划’，停止360安全软件上传电脑信息。”一句，为避免360云安全计划干扰此次检测过程，此处设置取消“加入‘云安全计划’”，并关闭自动更新，包括木马库。为检测360安全卫士 v7.3.0.2003l信息记录情况，可根据个人习惯安装部分常规软件，如7z、Notepad++、hash-1.04、输入法等。d、修改文件夹选项选择关闭简单文件共享，显示所有文件，显示系统文件，显示文件扩展名。e、设置Temp目录“安全”选项卡选择文件夹“%homepath%Local SettingsTemp”，修改temp文件夹的安全属性(需NTFS文件系统)，添加everyone用户并关闭everyone的删除权限。以保证任何软件或程序在该文件夹中创建的临时文件不会被删除。2、用户信息搜集及上传检测选择运行7z、Notepad++程序，然后打开“%homepath%Application Data360safeLogInfo”目录，查看其中的log文件，发现该路径下存在以360_formal_***命名的log文件，查看该文件，其内容包含有刚刚打开7z、Notepad++操作记录。如下图所示，log文件中包含操作7z、Notepad++的操作日期、时间及被操作软件路径。接下来，检测以上生成的log文件是否被通过某种方式上传到服务器。运行抓包软件，并打开“%homepath%Application Data360safeLogInfo”目录，其中的360_formal_1289299900.log文件已经不在，并重新生成了个360_formal_***文件，同时通过查看抓包记录可以看到之前的log文件被上传到了远程服务器。浏览“%homepath%Local SettingsTemp”目录是否有zip文件生成，可以看到有一个5f3809b8991f93bf284a190eab69447a.zip文件(通过监测，该文件平均30分钟生成一次)。我们之所以能看到此文件，是因之前对此文件夹做了权限设置。log所在文件夹没有做权限设置，在360安全卫士 v7.3.0.2003l将log上传后自动删除该文件。将此zip解压出来得到一个5f3809b8991f93bf284a190eab69447a没有后缀的文件，可以用之前安装的Notepad++打开，也可以单击右键选择记事本打开。可以看到压缩包中的内容和之前检测到的log文件内容一致，如下图所示。查看抓包记录，如下图。可见360 安全卫士 v7.3.0.2003l将之前的log文件打包并且未经加密又传了一次。在抓包记录中查找DNS解析记录，可找到61.55.184.71的IP地址是由域名up.f.360.cn解析。七、360安全卫士涉嫌“搜集用户隐私”检测结果通过以上验证，360安全卫士 v7.3.0.2003l在未提醒用户的情况下，将搜集到的软件操作信息上传到了360公司的服务器，并随后删除由此产生的临时记录文件。根据《360用户隐私保护白皮书》，360安全卫士的以上行为特征未遵守《360用户隐私保护白皮书》概述部分中的条款：通过以上检测结果，360安全卫士 v7.3.0.2003l所搜集用户软件操作信息，对用户隐私造成的风险如下：若用户运行某一程序，360安全卫士 v7.3.0.2003l会把程序所在路径搜集并未经加密上传至360服务器。若360公司所存放信息的数据库泄露或传输数据被黑客截取进行社工分析，可造成用户的信息泄露。根据由工信部直属的中国软件测评中心牵头，并联合30多家单位起草的《信息安全技术、公共及商用服务信息系统个人信息保护指南》(草案)(中部分条例：根据以上条例，360安全卫士v7.3.0.2003l对用户信息的处理未遵守其中的用户知情权、选择权及禁止权，并在未获得个人信息主体的明确同意下记录和上传用户行为数据。截至本报告发布日期，《信息安全技术、公共及商用服务信息系统个人信息保护指南》尚未正式发布，且我国尚无正式颁布的个人隐私法，IDF实验室仅根据以上检测结果，在缺乏相关法律专家的专业意见与指导下，尚不能根据此检测报告结果验证推断360安全卫士 v7.3.0.2003l已经涉嫌窃取用户隐私。八、附录一1、@Royflying原帖与本报告行为检测项对比根据@Royflying 对360安全卫士 v7.3.0.2003l的检测项，以及我方对该版本安全卫士的行为检测项，做如下检测项目对比：检测对比表(√：有;×：无)2、《一把菜刀：360搜集隐私程序员级分析》原文来源于网络(， 文中言论不代表IDF实验室观点。一、360安全卫士全面记录用户使用其他软件的行为信息正常安装完360安全卫士后，进程防火墙会自动启动，并通过驱动层Hook所有运行程序所需的系统API，运行任意程序时拦截，然后通过appd.dll记录执行程序时间、身份ID、触发程序名、触发程序版本信息、执行程序名、执行程序版本信息等。记录后通过ipcservice.dll将日志保存为C:Documents and Settings。上传完成后该压缩包被立即删除，从上传到删除的间隔时间极短，如果没有专业的手段，很难看到被上传的文件是什么内容。这些信息的上传非常频繁，平均约30分钟就上传一次。直到达到配置文件规定的收集次数才停止收集(默认收集100次)，并等待下一次收集的新指令。另外，用户不知情也不能取消这类收集行为，他们无法知道收集的大致内容，也没有任何手段取消这种频繁上传的行为。即使取消加入‘云安全计划’，仍然不能避免这些信息被上传。三、360在云端远程控制收集行为，指令下达即实时又隐蔽，取证非常难在分析中，我还发现了360具有很强的实时远程控制能力。通过更新云端的配置文件，修改几个参数就可以控制360安全卫士是否收集用户信息，以及精确到收集上报多少次后自动停止。1. 360安全卫士通过配置文件控制是否收集用户信息以及收集的次数等在360安全卫士的安装目录的ipc子目录下，有一个360hips.ini的配置文件。该文件结构如下：火前留名又来了刘明贴目测一大波360黑接近中我就是喜欢360方便,简洁,装的人多我又不需要懂那么多反正360好用不嘛不嘛人家就是要用360我这个微民网号是为360而生吗……机构名字起的那么拉风……结果是个民间爱好者组成的俱乐部机构，坑爹啊…… 刘明贴目测一大波360黑接近中