中科院表示360泄漏用户隐私
中科院:360什么的最讨厌了,偷看别人胖次!
360:哼,我才没有偷看呢,人家主动送过来的我能有什么办法~
“中国科学院信息工程研究所保密技术攻防重点实验室”发布了一份《个人隐私泄露风险的技术研究报告V1.0》,发布时间为2012年11月,文中从常用软件、网络服务、移动终端以及声光电磁等方面介绍了实验室的研究结果和发现,报告重点揭露分析了360隐私泄漏问题。
预留后门,植入代码:
360安全浏览器在运行过程中约每5分钟与服务端进行一次通信,并下载一个文件,下载的文件为se.360.cn/cloud/cset18.ini,但是从数据流可以看出该文件实际上是一个PE文件,文件头中标识的产品名称为DataDll。将该文件从数据流中提取出来得到一个dll文件,查看该文件的属性,得到其文件说明为“360安全浏览器 安全网银”。从该文件中提取到一段Base64编码的文本信息解码分析得出,该DLL文件的功能与网银无任何关系,而是跟搜索引擎百度相关可能是为了躲避Referer字段的检查。
收集用户浏览记录:
用户使用360安全浏览器5.0访问网页的时候,每打开一个网页之后都会向360的特定服务器发送一个POST请求,内容包含加密过的url信息。
收集浏览器地址栏输入信息:
当用户在360安全浏览器5.0的地址栏中输入“10.105.240.57”时,浏览器会将该地址发送到sug.so.360.cn,并且发送时附带的Cookie中会带有具有用户唯一性标志的guid值,这可能会导致特定用户的地址栏输入以及浏览记录被跟踪和泄漏。
在此,萌科技建议安装了360的同学,现在卸载还来得及!否则…………(开门!查水表!)
