IDF作品：关于360安全卫士涉嫌窃取用户隐私的独立检测报告-v1.3

INTELLIGENCE DEFENSE FRIENDS LABORATORY http://www.idf.cn 关于关于关于关于360360360360安全卫士安全卫士安全卫士安全卫士 vvvv7.3.0.2003l7.3.0.2003l7.3.0.2003l7.3.0.2003l 涉嫌涉嫌涉嫌涉嫌""""窃取用户隐私窃取用户隐私窃取用户隐私窃取用户隐私""""的独立检测的独立检测报告的独立检测报告的独立检测报告 IDFIDFIDFIDF互联网威慑防御实验室互联网威慑防御实验室互联网威慑防御实验室互联网威慑防御实验室 发布日期：发布日期：发布日期：发布日期：2012201220122012年年年年11111111月月月月25252525日日日日 INTELLIGENCE DEFENSE FRIENDS LABORATORY http://www.idf.cn IDF 实验室 版本: <1.3> 关于 360 安全卫士 v7.3.0.2003l涉嫌"窃取用户隐私"的独立检测报 告 日期: <24/11/2012> 文档标记：IDF-REPDOC-20121124 IDFIDFIDFIDF互联网威慑防御实验室 是一个民间信息网络安全爱好者的技术俱乐部机构，骨干 成员由相关领域的专业人士、技术人员和业余爱好者共同组成。IDF实验室的研究方向主要 集中在：互联网威胁发展趋势、终端安全管理、无线网络通讯安全、僵尸网络等技术领域和 产品研究上。IDF实验室面向广大信息网络安全爱好者提供计算机安全知识普及教育、参与 对业界相关领域产品、发展动态进行客观的、独立的技术、市场研究与评估，为民间信息网 络安全爱好者成长为专业安全技术从业人员提供平台和桥梁。 版权声明 本研究报告为 IDF 实验室组织编写，除非公开发表并有约定外，其版权属于 IDF实验室拥有。报告中引用部分版权属于原作者或相应单位所有。未经 IDF 实验室和作者许可，任何单位和个人不能将本研究报告内容转发或用于其他 用途，本报告仅供业界研究参考，没有商业诉求，请勿对号入座，如有不足 不妥之处，欢迎批评指正。 INTELLIGENCE DEFENSE FRIENDS LABORATORY http://www.idf.cn 一、检测背景................................................................................................................................... 4 二、 检测目的................................................................................................................................. 4 三、 关于 360 公司隐私保护......................................................................................................... 4 四、目标检测软件........................................................................................................................... 7 五、检测环境及工具....................................................................................................................... 8 六、360 安全卫士隐私泄露检测.................................................................................................... 8 1、检测环境准备..................................................................................................................... 8 a、系统时间设置............................................................................................................. 8 b、安装 360 安全卫士..................................................................................................... 9 c、关闭自动升级和云安全..................................................................................... 9 d、修改文件夹选项......................................................................................................... 9 e、设置 Temp 目录“安全”选项卡............................................................................. 10 2、用户信息搜集及上传检测............................................................................................... 10 七、360 安全卫士涉嫌“搜集用户隐私”检测结果.................................................................. 14 八、附录一.....................................................................................................................................17 1、@Royflying 原帖与本报告行为检测项对比.................................................................... 17 2、 《一把菜刀：360 搜集隐私程序员级》.............................................................. 18 九、 附录二................................................................................................................................... 22 1、 修订信息......................................................................................................................... 22 2、 致谢................................................................................................................................. 22 INTELLIGENCE DEFENSE FRIENDS LABORATORY http://www.idf.cn 一、检测背景 2012 年 10 月 12 日，方舟子转发了新浪微博网友 @Royflying 的爆料帖《一把菜刀： 360搜集隐私程序员级分析》质疑 360安全卫士搜集用户隐私。此帖指出“360安全卫士频 繁上传大量的信息到服务器，会将大量用户使用其他软件的信息上传到服务器，用户无法知 道上传信息的详情，也无法阻止这些信息的上传。这些信息将会暴露用户的生活习惯、作息 时间，以及比较私密的软件操作。” 二、检测目的 该报告的目的是基于新浪微博用户 @Royflying 所发微博《一把菜刀：360 搜集隐私程 序员级分析》中所描述内容及测试方法做的二次验证检测，旨在证实其微博中所描述的 360 安全卫士涉嫌搜集窃取用户隐私的内容、检测现象、检测手段是否准确、真实、不可抵赖， 以验证 360 安全卫士是否存在在对用户宣传承诺的同时，搜集、窃取用户隐私的问题，从而 威胁普通用户信息安全及系统安全。 三、关于 360 公司隐私保护 本文档摘取《360用户隐私保护白皮书 2.0 版》(在 2010年 10月发布的第一版基础上， 增加了移动互联网产品的内容：http://www.360.cn/privacy/v2/gaishu.html)中部分内容，以陈 述 360公司对于个人隐私信息以及 360 安全软件上传信息的声明。 INTELLIGENCE DEFENSE FRIENDS LABORATORY http://www.idf.cn INTELLIGENCE DEFENSE FRIENDS LABORATORY http://www.idf.cn INTELLIGENCE DEFENSE FRIENDS LABORATORY http://www.idf.cn INTELLIGENCE DEFENSE FRIENDS LABORATORY http://www.idf.cn 四、目标检测软件 360安全卫士： 版本：v7.3.0.2003l 安装包大小：17.9 MB MD5：8FB5774B68133D6CAAC3A2860187BE6F 下载地址：http://down.360safe.com/setup_7.3.0.2003l.exe 如果不能下载或者MD5 不匹配，则说明 360已经替换该版本安全卫士安装包，请从其 他地方搜索下载，注意数字签名时间戳要在 2010年 11月 8 日之前。 五、检测环境及工具 虚拟机环境： VMware Workstation 版本：8.0.5 下载地址：http://d4.xp500.com:8888/xp500.com/VMware_xp500.com.rar 操作系统：Windows XP Professional SP3 检测工具：Wireshark 下载地址：http://www.wireshark.org/download.html 六、360 安全卫士隐私泄露检测 我们通过如下操作检测 360安全卫士 v7.3.0.2003l是否存在有搜集用户信息并上传到服 务器的行为，旨在验证《一把菜刀：360搜集隐私程序员级分析》帖子中所描述内容是否真 实、准确、可信。 1、检测环境准备 为避免其他软件或系统干扰，此处选择在虚拟机环境下安装Windows XP SP2操作系统， 文件系统为 NTFS。向系统内拷贝测试用常规软件安装程序。 INTELLIGENCE DEFENSE FRIENDS LABORATORY http://www.idf.cn a、系统时间设置 调整系统时间到 2010 年 11月 11日，以真实还原该版本安全卫士软件行为。若当前系 统时间离数字签名时间 2010201020102010年 11111111月 8888日较远，会干扰检测过程及检测结果。 b、安装 360 安全卫士 在安装 360 安全卫士 v7.3.0.2003l的过程中须断开网络连接，可禁用网卡或断开网络连 接，虚拟机中可以选择设置断开网络连接，以防止 360云计划对配置文件进行更新。 c、关闭自动升级和云安全计划 360隐私保护中包含“可以随时选择退出‘360云安全计划’，停止 360 安全软件上传电 脑信息。”一句，为避免 360云安全计划干扰此次检测过程，此处设置取消“加入‘云安全 计划’”，并关闭自动更新，包括木马库。 INTELLIGENCE DEFENSE FRIENDS LABORATORY http://www.idf.cn 为检测 360 安全卫士 v7.3.0.2003l信息记录情况，可根据个人习惯安装部分常规软件， 如 7z、Notepad++、hash-1.04、输入法等。 d、修改文件夹选项 选择关闭简单文件共享，显示所有文件，显示系统文件，显示文件扩展名。 INTELLIGENCE DEFENSE FRIENDS LABORATORY http://www.idf.cn e、设置 Temp 目录“安全”选项卡 选择文件夹“%homepath%\Local Settings\Temp\”，修改 temp 文件夹的安全属性(需 NTFS 文件系统)，添加 everyone 用户并关闭 everyone 的删除权限。以保证任何软件或程序在该文 件夹中创建的临时文件不会被删除。 2、用户信息搜集及上传检测 选择运行 7z、Notepad++程序，然后打开“%homepath%\Application Data\360safe\LogInfo” 目录，查看其中的 log 文件，发现该路径下存在以 360_formal_***命名的 log 文件，查看该 文件，其内容包含有刚刚打开 7z、Notepad++操作记录。 如下图所示，log文件中包含操作 7z、Notepad++的操作日期、时间及被操作软件路径。 INTELLIGENCE DEFENSE FRIENDS LABORATORY http://www.idf.cn 接下来，检测以上生成的 log 文件是否被通过某种方式上传到服务器。 运行抓包软件，并打开“%homepath%\Application Data\360safe\LogInfo”目录，其中的 360_formal_1289299900.log文件已经不在，并重新生成了个 360_formal_***文件，同时通过 查看抓包记录可以看到之前的 log 文件被上传到了远程服务器。 INTELLIGENCE DEFENSE FRIENDS LABORATORY http://www.idf.cn 浏览“%homepath%\Local Settings\Temp\”目录是否有 zip 文件生成，可以看到有一个 5f3809b8991f93bf284a190eab69447a.zip 文件（通过监测，该文件平均 30分钟生成一次）。我 们之所以能看到此文件，是因之前对此文件夹做了权限设置。log 所在文件夹没有做权限设 置，在 360 安全卫士 v7.3.0.2003l将 log 上传后自动删除该文件。 将此 zip 解压出来得到一个 5f3809b8991f93bf284a190eab69447a 没有后缀的文件，可以 INTELLIGENCE DEFENSE FRIENDS LABORATORY http://www.idf.cn 用之前安装的 Notepad++打开，也可以单击右键选择记事本打开。可以看到压缩包中的内容 和之前检测到的 log 文件内容一致，如下图所示。 查看抓包记录，如下图。 可见 360 安全卫士 v7.3.0.2003l将之前的 log 文件打包并且未经加密又传了一次，。 在抓包记录中查找 DNS 解析记录，可找到 61.55.184.71 的 IP 地址是由域名 up.f.360.cn 解析。 INTELLIGENCE DEFENSE FRIENDS LABORATORY http://www.idf.cn 七、360 安全卫士涉嫌“搜集用户隐私”检测结果 通过以上验证，360安全卫士 v7.3.0.2003l 在未提醒用户的情况下，将搜集到的软件操 作信息上传到了 360公司的服务器，并随后删除由此产生的临时记录文件。 根据《360用户隐私保护白皮书》，360安全卫士的以上行为特征未遵守《360用户隐私 保护白皮书》概述部分中的条款： INTELLIGENCE DEFENSE FRIENDS LABORATORY http://www.idf.cn 通过以上检测结果，360 安全卫士 v7.3.0.2003l所搜集用户软件操作信息，对用户隐私 造成的风险如下： 若用户运行某一程序，360安全卫士 v7.3.0.2003l会把程序所在路径搜集并未经加密上 传至360服务器。若360公司所存放信息的数据库泄露或传输数据被黑客截取进行社工分析， 可造成用户的信息泄露。 根据由工信部直属的中国软件测评中心牵头，并联合 30 多家单位起草的《信息安全技 术、公共及商用服务信息系统个人信息保护指南》（草案）（ http://wenku.baidu.com/view/c5690605a6c30c2259019e7e.html）中部分条例： INTELLIGENCE DEFENSE FRIENDS LABORATORY http://www.idf.cn INTELLIGENCE DEFENSE FRIENDS LABORATORY http://www.idf.cn INTELLIGENCE DEFENSE FRIENDS LABORATORY http://www.idf.cn 根据以上条例，360 安全卫士 v7.3.0.2003l 对用户信息的处理未遵守其中的用户知情权、 选择权及禁止权，并在未获得个人信息主体的明确同意下记录和上传用户行为数据。 截至本报告发布日期，《信息安全技术、公共及商用服务信息系统个人信息保护指南》 尚未正式发布，且我国尚无正式颁布的个人隐私法，IDF 实验室仅根据以上检测结果，在缺 乏相关法律专家的专业意见与指导下，尚不能根据此检测报告结果验证推断 360 安全卫士 v7.3.0.2003l已经涉嫌窃取用户隐私。 八、附录一 1、@RoyflyRoyflyRoyflyRoyflyinginginging原帖与本报告行为检测项对比 根据@Royflying 对 360 安全卫士 v7.3.0.2003l 的检测项，以及我方对该版本安全卫士 的行为检测项，做如下检测项目对比： 检测方 检测分析项 @Royflying IDF 实验室 收集行为检测 √ √ 生成日志检测 √ √ 删除日志检测 × √ 打包行为检测 √ √ 删除压缩包检测 √ √ 上传行为检测 √ √ 抓包分析 √ √ 检测对比表（√：有；×：无） 2、《一把菜刀：360 搜集隐私程序员级分析》 原文来源于网络（http://weiba.weibo.com/10049/t/z06T3lv2P）， 文中言论不代表 IDF 实 验室观点。 特别声明： 此次检测的 360360360360安全卫士版本是以网友举报的 vvvv7.3.0.2003l7.3.0.2003l7.3.0.2003l7.3.0.2003l版本为验证。IDFIDFIDFIDF实验室 欢迎广大网友和安全爱好者参考本报告过程与方法做自行检测，包括 360360360360安全卫士的其他 版本。亦希望 360360360360公司以开放坦诚的态度就本报告内容给广大网民用户一个正面、客观的 回应。如本测试报告存在瑕疵或错误，欢迎业界同行给予批评指正与帮助。IDFIDFIDFIDF实验室热 诚欢迎社会各界同行包括 360360360360公司，共同致力开展透明、专业的交流与对话，携手推动互 联网安全行业自律，以营造健康美好、可信赖的中国互联网环境。 INTELLIGENCE DEFENSE FRIENDS LABORATORY http://www.idf.cn 【一把菜刀：360 搜集隐私程序员级分析 供方舟子及大众参考】这几天方舟子 vs360 成了网上最热的话题，方舟子说：360你窃取用户隐私。360对于窃取隐私的回 应是：你不懂 IT，所以没资格指责。你人品还有问题。我懂 it，但是我不指责，我来 说说而已。那么 360和用户隐私是什么关系？方舟子 vs360 和我又有什么关系？ 我来卖菜刀的，菜刀可以是武器也可以是工具。 我希望方舟子买我的菜刀为用户砍出一片互联网晴天。 我也希望 360 买我的菜刀，砍掉自己的错误行为，还用户一个安全的互联网天空。 我还希望用户也买我的菜刀，做出自己的选择。 下面就是一把菜刀，各位怎么使用就看自己的了。 我抓包时发现 360 安全卫士频繁上传大量的信息到服务器，经过分析后发现它会 将大量用户使用其他软件的信息上传到服务器，用户无法知道上传信息的详情，即使 取消‘加入云安全计划’，仍然不能阻止这些信息的上传。这些信息将会暴露用户的生 活习惯、作息时间、以及比较私密的软件操作。 360安全卫士的这个收集功能具有很好的实时控制性，可以在云端发布指令，很 短时间令客户端停止或开启收集功能，同时收集过程中产生的文件都会被自动删除。 这使得这一收集行为具有非常好的隐蔽性。 由于 360 安全卫士在不同时段发布的安装包收集策略不一致，并非所有版本都具 有一致的行为。下面是我对此次分析的产品包的详细信息。 产品版本： 360安全卫士 7.3.0.2003l 安装包大小：17.9 MB MD5： 8FB5774B68133D6CAAC3A2860187BE6F 下载地址： http://t.cn/zll3LVz 一、360安全卫士全面记录用户使用其他软件的行为信息 正常安装完 360 安全卫士后，进程防火墙会自动启动，并通过驱动层 Hook 所有 运行程序所需的系统 API，运行任意程序时拦截，然后通过 appd.dll 记录执行程序时 间、身份 ID、触发程序名、触发程序版本信息、执行程序名、执行程序版本信息等。 记录后通过 ipcservice.dll 将日志保存为 C:\Documents and Settings\[当前用户 名]\ApplicationData\360safe\LogInfo\360_tmp_xxxx.log. INTELLIGENCE DEFENSE FRIENDS LABORATORY http://www.idf.cn 以下是一条记录的示例： 二、用户信息日志被 360上传到云端服务器，并自动删除不留痕迹 360安全卫士会将收集到的日志合并打包到用户临时目录，上传到 360 部署的服务 器上。 以下是 360安全卫士上传文件时的抓包分析截图： 360 安 全 卫 士 将 C:\Documents and Settings\[ 当 前 用 户 名 ]\Application Data\360safe\LogInfo\目录下的 log 记录合并后，立即删除相应 log 文件，并在用户临时 目录（C:\Documents and Settings\[当前用户名]\Local Settings\Temp）中创建一个文件压缩 后进行上传。压缩文件被命名为随机字符，不易被发现。 上传的地址为：http://up.f.360.cn/upload.php。 上传完成后该压缩包被立即删除，从上传到删除的间隔时间极短，如果没有专业的 手段，很难看到被上传的文件是什么内容。 这些信息的上传非常频繁，平均约 30 分钟就上传一次。直到达到配置文件规定的 收集次数才停止收集（默认收集 100 次），并等待下一次收集的新指令。 另外，用户不知情也不能取消这类收集行为，他们无法知道收集的大致内容，也没 有任何手段取消这种频繁上传的行为。即使取消加入‘云安全计划’，仍然不能避免这 些信息被上传。 三、360在云端远程控制收集行为，指令下达即实时又隐蔽，取证非常难 在分析中，我还发现了 360具有很强的实时远程控制能力。通过更新云端的配置文 件，修改几个参数就可以控制 360安全卫士是否收集用户信息，以及精确到收集上报多 少次后自动停止。 INTELLIGENCE DEFENSE FRIENDS LABORATORY http://www.idf.cn 1. 360 安全卫士通过配置文件控制是否收集用户信息以及收集的次数等 在 360安全卫士的安装目录的 ipc 子目录下，有一个 360hips.ini的配置文件。该 文件结构如下： [OTConfig] Active= TRUE //TRUE 应该是代表开启收集功能 MD5Enable = TRUE LogFlushSeconds = 180 LogsKeepHours = 72 MaxLogsTotalSize = 20971520 MaxPEFileSizeCalcMD5 =104857600 MaxMD5CacheCount = 1000 MD5CacheClean = 300 LogRecheckSeconds = 14400 MinFreeSpace = 52428800 [FD] JobTimer = 20 [REPROC] INTERVAL=60 MAXCOUNT=3 [cpopt] enable=1 ave=1 [PDU] PDUCHECK=1 PDUTIMEOUT=2000 PDUTRY=2 PDUAUTO=1 [cplog] logcount=100 //这里表示收集的次数，收集 100次后停止 2.通过服务端更新配置文件，只需要修改两个参数就可以将是否收集以及收集次数的 指令下达到客户端。如： Active= FALSE logcount=0 由于 360 安全卫士每过几分钟就会检查是否需要静默的自动更新，所以，一旦服 务端更新文件，指令就可以在很短的时间内到达所有开机的用户。要完全重现收集的 现场变得非常难以确定。 3.360近期对收集策略调整频繁 根据 360 服务端部署的配置文件更新包，可以看出最近的收集策略的变化过程。 INTELLIGENCE DEFENSE FRIENDS LABORATORY http://www.idf.cn 示刀完毕，各位请自便，我还有一些唠叨。 关于菜刀的唠叨，曾经有一把菜刀，360和周总拿着它砍向了流氓软件，而如今这把 菜刀砍向了我们。曾经有很多人面对“侵害”，有心杀贼，无刀杀敌，我希望更多的程序 员都出来，为互联网的公平和正义提供更多的“菜刀”。曾经你们都是什么都不懂的小白， 利益都要靠别人来争取，今天有人在拿刀砍向你们，选择莫言是能得到奖励么？怎么做 值得思考。 此菜刀：永久免费。 九、附录二 1111、修订信息 版本 修订内容 修订日期 变更记录 备注 1.0 创建文档 2012/11/2 创建文档 基于《一把菜刀：360搜集 隐私程序员级分析》 1.1 重新排版、增加检测结果 2012/11/8 修订文档 1.2 增加 360 白皮书、许可

协议

离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载

内容与检测结果对比 2012/11/20 修订文档 参考“隐私侵犯调查流程” 1.3 修改检测结果措辞、语句 2012/11/21 修订文档 2222、致谢 在本报告撰写过程中得到了来自安全行业的多位技术人员、安全专家及顾问的评审和参 考意见，基于他们的意见和建议方使得本报告得以不断修订、完善。 在此感谢@lylspector、@做个好人、@渥村万涛、@黑客老鹰在本报告技术检测、撰写及 修订过程提供的意见、建议及帮助。 一、检测背景 检测目的 关于360公司隐私保护 四、目标检测软件 五、检测环境及工具 六、360安全卫士隐私泄露检测 1、检测环境准备 a、系统时间设置 b、安装360安全卫士 c、关闭自动升级和云安全计划 d、修改文件夹选项 e、设置Temp目录“安全”选项卡 2、用户信息搜集及上传检测 七、360安全卫士涉嫌“搜集用户隐私”检测结果通过以上验证，360安全卫士v7.3.0. 八、附录一 1、@Royflying原帖与本报告行为检测项对比 《一把菜刀：360搜集隐私程序员级分析》 附录二 修订信息 致谢