“通过在本地架设DNS服务,劫持360.cn的域名解析,把我的机器伪装成360的服务器,然后那个注入浏览器的DLL不就由我自由控制了 么?”独立调查员表示,通过编一个只要被加载执行就马上弹出消息框的DLL,拿自己写的DLL注入给360浏览器,这就让360浏览器的后门机制的运行完 全可见了。
就这样,浏览器果然如预期的那样,把独立调查员在DLL里面写的消息框给弹出来了。
“被活捉啊!”从去年10月29日的公开信到11月5日的反向工程分析研究,前后仅为六天(仅利用业余时间)。
一个细微的细节是,独立调查员为了让更多的用户知道360暗藏后门的事实,还将其调查结果通过65分钟不间断的视频进行全网络直播。由于要保证 视频内容真正做到65分钟不间断、不剪接,而实际上他花费了4个多小时一次次现实演示,直至实现一次性完成,才算真正完成这一取证工作。
独立调查员指出,可执行文件DLL绝非软件的自动更新(软件更新是持久性的),360安全浏览器自动更新仅在启动时执行一次,与此行为无关;而它也不是浏览器的一部分,下载、暂存、加载调用后将立即被删除,完成使命后,不留任何痕迹。
360后门:绑架用户的遥控器/
独立调查员的这一发现发布后,立即在业内引起巨大震动。
以电子取证为主业的独立第三方IDF互联网情报威慑防御实验室立即跟进,对独立调查员的举报结论进行重复性认证,结论为:360安全浏览器v5.0.8.7的ExtSmartWiz.dll文件的属性、行为及反编译内容与独立调查员描述完全一致。
万涛表示,在当时的检测中,即使在关闭360安全中心可以关闭的功能,包括网址云安全、广告云拦截、第二代防假死、沙箱保护,在未进行任何浏览 器操作情况下,仍然可以抓取到ExtSmartWiz.dll请求服务器文件及下载服务器文件记录,而这些并未包含在《360用户隐私保护白皮书》有关 “360安全浏览器的隐私保护说明”中。
业内一位安全专家认为,360浏览器利用后门通过秘密手段,每5分钟操作一次程序性动作,究竟做了什么?现在不易获知,相信终有一天,360内 部的程序员等知情人士会将此完整地披露给大众。但可以认定,360这一行为有不可告人的目的,最为正面的理解是:如果全国要抓贪腐,可能不再需要小三、二 奶们自告奋勇地献身了,只要打开360浏览器,贪腐只要是上网的,基本上其丑行就可以通过360安全浏览器、360安全卫士这个后门机制暴露无遗了。
针对独立调查员的证据,360方面至今也无正面回应。
据独立调查员的最新消息,360安全浏览器5.0版的“后门”机制仍在运作,但360服务器已不再通过“后门”下发任何DLL,仅下发空文件(文件大小为0的文件)。
对360安全浏览器最新版(6.0.2.202)的网络通信监测表明,在未打开和浏览任何网站的情况下,浏览器仍然在与360云服务器密集通信,但与5.0版的情况明显不同。这里是否藏了什么新的秘密?
独立调查员对此已作了尝试调研,他告诉 《每日经济新闻》记者,“有关结果,在合适的时候会披露出来。”
“此中有一个不易注意的细节,”独立调查员告诉记者,“当时,360安全浏览器产品经理陶伟华在回应我的微博时,就把我指出的 ExtSmartWiz.dll文件名篡改成SmartWizRes.dll,而现在其6.0版本恰恰就是现在的‘SmartWizRes.dll’,可 见其早已有想通过偷梁换柱的方式掩盖其恶行。”
据多位安全专家表示,“后门”并非360独创,原来,其作用为“方便之门”。最著名的“后门”软件为灰鸽子(Hack.Huigezi)。其诞 生于2001年,原本是一款优秀的远程控制软件,其后门机制作用为方便实施远程控制。但正是这“后门”机制,又使其成为集多种控制方法于一体的木马病毒。 一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件等皆手到擒来。因此,自其诞生之日起,就被反病毒专业 人士判定为最具危险性的后门程序,并引发了安全领域的高度关注,同时成为全球公认的“毒王”。
360安全浏览器比“灰鸽子”更为危险的是,它的市场占有量很高。根据艾瑞咨询此前发布的数据显示,360最主要的产品360安全卫士的市场份 额已经高达84.41%,同时360也拥有国内最大的浏览器和网址导航份额,所占市场份额大致为30%。这也意味着数亿量级360浏览器安装于用户的电脑 中,如果有人破解360安全浏览器,从而控制这个后门的话,那将是灾难性事件,它导致一个国家的瘫痪都是完全可能的。因为360安全卫士、360安全浏览 器早已进入了中国大多数用户的电脑。
万涛进一步指出,更为令人担忧的是,360的“后门”控制属于云端,至今仍秘而不宣。“凡安装360安全浏览器或360安全卫士的电脑,都已客 观上成了360可以任意支配的‘肉鸡’。而360目前在许多领域中的不正当行为,都是基于其安全入口的裁判员机制而实施成功的。”
而来自金山的反病毒专家李铁军认为,360浏览器的后门机制,实际上已绑架了用户,成为360通过用户的浏览器来直接攻击竞争对手的工具,包括 阻止或杀死竞争对手的各类客户端软件,阻止其中的重要程序,破坏竞争对手软件的功能等等。“这样的丑行只有中国才有,是世界上惟一的先例。”
(责任编辑:威展小王)
