周鴻祎與《每經》爭論的技術性解讀

        《每日經濟新聞》長篇大論揭 360 的老底引發了業界地震，也讓 360 方面坐不住了，不但要狀告《每經》，周鴻祎也站出來予以駁斥。究竟孰是孰非恐怕永難有定論，不妨看看獨立媒體人陽淼對此事件的最新報道——

周鴻祎

        今天下午，360 公司以首次媒體開放日的形式對《每日經濟新聞》不久前的報道《360 黑匣子之謎：奇虎 360“癌”性基因大揭秘》進行逐條回應。我以獨立媒體人的身份入場(之所以強調這個是因為據說某些技術人員和《每經》的記者被拒絕入行了)，記錄下了對 問題回應的要點。由于涉及的技術問題比較多，我會盡自己能力進行一些解讀，但畢竟不是該行業的技術大牛，有理解偏了的也請海涵、指正。

        每日經濟新聞的報道可以分為兩大部分，一部分是對此前針對 360 產品安全、商業模式等方面的報道進行的引述、轉載，另一部分是通過對技術人員和相關行業人士的采訪，得到的調查結果、數據與結論。第一部分涉及面龐雜，時 間跨度很大，有些問題 360 方面也曾以各種形式進行回應，因此現場發問的媒體人不多，我也沒有花過多精力去再現。我們主要就每經報道中的新增信息量進行發問與再現。

        每經報道中首先提到的是 360 安全瀏覽器在用戶無操作時也頻繁與后臺服務器通訊。報道原文如下：

        獨立調查員為《每日經濟新聞》記者進行了現場演示。他特意在自己的電腦上安裝了 360 安全瀏覽器，并打開網絡通信監視工具，這時可以看到，360 安全瀏覽器在其電腦后臺上就像一只工蜂，始終不停地忙碌著。

        然后，獨立調查員又打開 IE、騰訊、獵豹、chrome 等瀏覽器，每一個瀏覽器都很安靜，沒有任何動作。

        “360 安全瀏覽器在干嘛呢？誰也不知道。為什么要這樣忙碌呢？作為瀏覽器，其作用就是可以顯示網頁服務器或者文件系統的 HTML 文件內容，并讓用戶與這些文件交互的一種軟件。根據最小特權原則，你是沒有理由在我的電腦里不停地‘工作’。你要問他在做什么，他就說，是為了你的安 全。”

        這段報道可以引出這樣一個問題：360 瀏覽器是否在用戶沒有操作時仍在后臺上傳了數據？如果有的話，這些數據是否包含了用戶信息與隱私？

        360 公司董事長周鴻祎在現場回應了這一問題。他表示，360 瀏覽器是世界上首家以安全為主打概念的瀏覽器。為了將用戶實時隔離于惡意網址之外，瀏覽器會每隔 5 分鐘與服務器通訊一次，查詢惡意網址庫的更新，并將近期頻繁出現的惡意網址庫下載到用戶機器上進行防護。這一操作并沒有傳遞任何用戶信息。

        但由于整個惡意網址庫數量龐大(即互聯網有史以來幾乎所有的惡意網址)全部下載到用戶電腦中并不現實，因此對打開了惡意網址云檢查的用戶來說， 瀏覽器會上傳用戶訪問的每個網址與云端惡意網址數據庫比對。‘金山、騰訊、卡巴斯基的類似產品也有這種功能設計’。周鴻祎解釋稱。

        對于上傳的這部分網址數據，360 會采用 MD5 加密后上傳，以保護用戶數據。有個別網站設計不規范，會把用戶名和密碼帶在 URL 中，360 對這種網址還會進行保護處理后上傳。

        而對于這種‘保護’的來歷，也與每經報道中的一段歷史有關。2010 年底，黑客攻破了 360 的某臺服務器，有大量數據被公布在互聯網上。報道稱，‘此次泄密事件涉及總條數 141 萬條，其中涉及用戶名信息的條目有 247326 個，既包含用戶名又包含密碼條目有 816 個。’

        周鴻祎反駁稱，這次被攻破的是 360 的惡意網址查詢數據庫，外泄信息是主要是瀏覽器上傳的各種用戶訪問網址，并無涉及用戶隱私的敏感信息。但他承認當時在技術上存在兩個瑕疵：第一是當時瀏覽 器以明文上傳了用戶網址；第二是有小部分網站由于設計不周，會將用戶名與密碼直接帶在網址之中，這類網址被上傳后，會造成‘上傳了用戶名與密碼’的誤讀。 因此在后續產品設計中，針對這兩點進行了功能完善與修補。

        而針對 360 安全衛士上傳的數據問題，周鴻祎解釋稱，產品上傳的信息只針對用戶電腦中的可執行文件和模塊的相關信息，因為木馬、病毒均借由此類文件傳播；不包括文檔、 照片等用戶敏感信息。可執行文件一般不會包括用戶敏感信息。而為了避免木馬、病毒攔截這種查殺過程，上傳的信息必須進行加密，這種必要的加密并不是媒體所 說的‘黑匣子’。

        每經報道中披露的第二個問題，是對 360 安全瀏覽器的‘綠色網站認證’的質疑。報道原文如下：

        獨立調查員進行了如下實驗，以了解 360 綠色網站認證機制：

        在本機模擬，將招行網銀域名劫持到 IP 為 50.63.127.126(xliar.com)的網站，并在目標服務器上構建相應目錄體系和登錄頁文件，然后使用 360 安全瀏覽器訪問招行大眾版登錄頁，從而進入偽裝的招行網銀頁面。

        360 網購保鏢自動檢測招行運行環境，幾秒鐘后完成檢測，報告“本次檢測未發現風險，現在可以放心網購了！”

        此時瀏覽器地址欄銘牌顯示為“招商銀行”，點擊后彈出“通過綠色網站認證”，披著“招行網銀”外衣的劫持網址，即被 360 認證為招行官方網站。

        而同樣的操作，使用 IE 瀏覽器訪問時，IE 瀏覽器地址欄則會以非常顯眼的方式告知用戶“(網站數字)證書錯誤”，點擊錯誤信息可知，該網站證書不屬于招商銀行網站。

        ……

        而獨立調查員演示的證據顯示，360 瀏覽器直接屏蔽認證機構 VeriSign 基于加密體系的可信認證，將其替換成了 360 綠色網站認證。

        上述報道可以簡化為：360 是否屏蔽了國際公認認證機構的網站證書，而將其替換為自己認證？綠色網站認證是否存在安全問題？

        周鴻祎完全否認了這一報道。他解釋了 360 綠色網站認證的機制：該認證基于網站本身所具有的 ICP 證書等國家權威機構辦法的許可證進行審查，與根據時間、服務器數據進行真實性認證的 VeriSign 完全平行，不會相互取代。這一綠色認證的目的是對電商網站進行可信度保障，其運行范圍也與 VerySign 不同。

        由于每經報道中未披露采用了何種方式進行域名劫持，360 瀏覽器高級總監現場向我們模擬了用修改 hosts 文件方式劫持域名后 360 瀏覽器的反應：將招商銀行域名劫持后，訪問這一域名時 360 瀏覽器會直接顯示出網址被 hosts 重定向(見圖)。

網址被 hosts 重定向

        每經報道中的第三個質疑，是 360 的 V3 升級計劃。其報道原文如下：

        據《每日經濟新聞》記者調查，一鍵優化，是通過 360 安全衛士，即通過客戶端執行；“靜默安裝”，則是直接通過云服務器發布指令執行的。而“V3 升級”即是 360 產品線最重要的捆綁安裝渠道。

        V3 機制，最主要的推廣“母體”是 360 安全衛士與 360 瀏覽器，而這兩者間，又有分工與交叉，相互配合，其中的關系非常復雜。為遮人耳目，V3 通道并不是常規的路徑，而是在重要的“必須產品”推廣中才會實施。通過這一路徑，可以一下子將產品全面鋪開，實現最大的安裝量。而當 360 的主體產品擁有的用戶基數越來越高的時候，這樣的推廣作用也變得更有成效。

        V3 由 360 高層決策層下達指令，360 安全數據中心啟動，并通過后門機制，將指令性信息傳達給用戶電腦中安裝的 360 安全衛士，主要指令為產品推廣、刪除競爭對手產品、新配置數據等；360 安全衛士在用戶 Windows 系統中，直接執行安裝、更改、卸載；然后，通過后門機制，將信息反饋給 360 云安全數據中心，該中心再將信息收集、匯總統計后，上傳給決策層。

        周鴻祎和其他現場的 360 技術高管披露了 V3 升級計劃的細節。周鴻祎稱，大量互聯網軟件公司均有連線升級軟件的功能，V3 也不過就是一個連線升級的操作模塊，之所以叫 V3，是因為這是該模塊的第三個版本。這一模塊實現的是軟件個體的在線升級，而不會執行額外安裝軟件、卸載其他軟件的功能。

        對于大量因安裝了 360 安全衛士而安裝了 360 瀏覽器的用戶，周鴻祎解釋，這不是 V3 自動為用戶裝上了瀏覽器，而是安全衛士在進行電腦體檢后提示用戶‘是否需要安裝安全瀏覽器’，這個提示有些用戶可能并沒有注意到，直接點了同意，在安裝后 使他們產生‘不知不覺被裝了新軟件’的錯覺。周鴻祎反省說，以后對這類交叉推廣，可以考慮是否要把提示做得再明顯、再大一些。

        我對這個問題進行了追問，請周鴻祎明確回答，360 軟件是否曾經靜默安裝過關聯軟件，是否曾經未經許可刪除過用戶軟件，他對這兩個問題都明確回答‘沒有’。

        整個發布會除了上述內容外，還有周鴻祎對搜索市場的看法、股市的觀點、蘋果下架 360 應用的回應等等，但本文僅反映他對每經報道的回應，因此其他內容暫不記錄。而對于他這些回應是否站得住腳，由于專業性過強，我也不能全部給出自己的判斷， 時間關系，先保證能不走樣地記錄、再現出來，供有關人士參考即可。有關 360 的產品安全性與一些操作的爭議性，我會在以后有機會時進行專文探討。