每经记者 秦俑
“作为宣称‘最安全的浏览器’的360安全浏览器,被发现存在极大潜在安全威胁的‘后门’。毫无疑问,‘独立调查员’是第一人。即使给他颁发一个国家级的科技发现奖也不为过。而且,多少年后,人们一定会感谢这位幕后的英雄,为了广大用户的上网安全,做出了卓越的贡献。”百度安全部门的相关负责人如此评价360安全浏览器“后门”发现者。
按照独立调查员的理解,所谓360的后门,不仅存在于360安全浏览器,也存在于360安全卫士。他说,“你这样来看,在你的小区,保安说,因为安全的需要,你们要将房门的钥匙放一把在我身上,我可以随时来检查你家庭的安全。这本身已经非常大的不安全了,但你更不知道的是,这个保安公司,还在地下挖有一条通道,可以直接从地下通过地道悄悄进入你的房间。而这个地道,就是后门。”
360后门秘道浮出水面
2012年10月,当时“方周大战”正酣,独立调查员才注意到了360安全产品,因为他一直是裸机,从未想过要关注360。但这一关注,他敏锐地发现,360“非常异类”——许多行为不仅是反安全的,甚至是“反人类的”。
独立调查员特意在用于测试的虚拟机中安装了全套360产品,并由此发现360产品的许多 “不规矩行为”,他随手将这些发现发布在微博上,立即引起许多关注,但也遭到一些人的攻击。“有些人明显就是360的人在挑衅,这激怒了我,我这人不喜欢耍嘴皮子,我是软件专业人员,我只讲证据”,独立调查员如此说。
独立调查员发现,360浏览器网络通信有非常异常的情况,“最开始只是发现其时间周期性:每隔5分钟,浏览器就主动发起一次与服务器之间的通信过程,虽然不知道在干嘛,但其短周期性非常可疑。”
为什么不打开任何网页、不动键盘和鼠标,360浏览器依然忙个不停呢?“国内外所有的知名浏览器都不会存在这样的行为模式。可以肯定,此中必有蹊跷”。
于是,他继续追查,虽然下载的文件名是文本文件(ini),但当他把数据包拼接成文件后一看 (当时尚不知道服务器IP地址对应域名,受服务器限制未能通过网址直接下载文件,也尚未注意到文件被暂存于临时文件夹),实际是个DLL(可动态加载的程序模块)。“以我的知识和经验,很快意识到问题的严重性——以更新配置文件为耳目、周期性下载并加载执行小程序——这是一个后门。至于360利用它做什么、曾做过什么并非重点,重点是他们可以做任何事而不为人知、不留痕迹。”
于是,他于去年10月29日通过微博对外公布了360浏览器有后门的事实,同时公开向工信部、公安部发出了一封名为《公开举报奇虎360公司——致工信部、公安部公开信》的举报信。
《每日经济新闻》记者注意到,在这封举报信中,独立调查员直接斥责道:“奇虎360公司的 ‘360安全浏览器’暗藏‘后门’,是用户系统安全和信息安全的严重潜在威胁”。
他举证说,360安全浏览器实为C/S架构木马系统的客户端,服务器群是se.360.cn(云架构,IP地址不定)。浏览器每隔5分钟即向服务器请求新的“指示”。新的指示伪装成Ini(纯文本文件类型)发出,实际上是DLL文件(Windows可执行程序库或资料库)等。
此事一石激起千层浪。不过,具有挑战的是,独立调查员的分析结果仅仅是网络分析,是“后门”机制的初步证据和技术推断,而非直接的铁证。正是因为这样,360开始在网络上对其进行质疑、攻击,甚至嘲讽。
“他们以为我只会网络抓包呢!”独立调查员表示。于是,为了做实360的后门机制,他决定反向分析浏览器本身的程序库,并详细分析出“后门”机制的内部执行流程。
然而,这并非一件容易的事情。“因为没有软件源程序、更没有设计文档,所以分析难度相当大。给你个软件,只能进行其公开可见的操作,而内部运作却完全是个黑洞。”独立调查员表示。
源程序(源代码)自然没有。而要通过反向工程来破解,难度相对较高,也非常浪费时间。何况360浏览器软件规模不小,而且还有很多内置的扩展程序。
“我首先用排除法把扩展组件挨个干掉,我删掉一个扩展组件,如果后门机制还在,说明与这个扩展组件无关。”独立调查员最开始的直觉是后门应该在扩展程序里面,因为主程序要送检,但是当独立调查员把可见的扩展程序全部删掉后,后门还在,于是他开始删(对普通用户)不可见的扩展组件。
“通过排除法,最后确认是扩展组件SmartWiz在搞鬼。删掉它以后,浏览器就安静了,那个5分钟一轮的上传下达活动消失了。”
不过,还没有结束。为了进一步查明360后门真相,独立调查员还需要反向编译出汇编代码并跟踪测试。
通过一系列技术过程,独立调查员掌握了360浏览器在SmartWiz整个组件里与360服务器间建立通信、下载、临时存储、加载执行、删除(销毁证据)的流程,同时也知道了其时钟控制调度机制(5分钟间隔定时器)。
360后门的安全之殇
360安全浏览器设计出来的后门,恰恰给用户带来了极大的不安全。
为了让用户知道这个后门的恶劣程度,一直涉足互联网安全工作的腾讯集团副总裁曾宇,对没有后门的浏览器的重要性做了解答(如图)。
一般个人用户的电脑中,90%以上为windows系统,这套系统与互联网之间的联系,是需要浏览器来实现的,同时,因为浏览器的闭环作用(可以理解为没有缝的鸡蛋壳,除非用户特别授权),其也是windows系统与互联网之间的天然屏障,任何来自于其他云端的指令等,都不会穿透这层保护而到达windows系统。这样,用户电脑中的windows系统得到最好的保护,所有执行的指令,都是来自于用户自己。
而IDF互联网情报威慑防御实验室创始人万涛则对浏览器后门做了解读。他说,被称作360“安全”的浏览器,却有一个特殊的资源文件,这个资源文件硬生生地将这个蛋壳打开了一条缝,而且是一条用户看不到的缝。
通过这个后门,360浏览器可以根据监视用户电脑操作过程中出现的情况,向360云安全中心发出请求,360云端的后门服务体系根据请求,给出相应的DLL,即windows可执行程序库。这个DLL通过360浏览器的后门,直接进入用户的windows系统。
此时,这个DLL好生了得,它甚至已不受浏览器的控制,它在用户windows系统中可做的事情包括但不限于:
获取用户的文件,并上传到云端;
读写、增删用户的文件;
监听用户通讯;
更改windows系统的注册表或重要的设置参数;
悄悄卸载竞争对手的产品,等等。
同时,这个DLL还可以通过这个后门,直接对互联网发出指令,包括但不限于:
自动从360服务器下载软件来安装或运行;
代替用户直接进行电子商务操作;
释放木马或病毒、创建常驻系统的服务,等等。
360是否做了这些呢?如果做了,对其自身又会有怎样的价值呢?会对行业、用户带来怎样的伤害呢?没有人知道答案。
“搞清楚这些细节后,我就着手重现后门机制的运作,让本来不可见的过程变得可见,以做可视化演示,让大家不仅能感知而且能 ‘看到’360暗设的这道‘后门’。”独立调查员表示。
在他看来,360那个后门每5分钟都会找360服务器下载一个DLL并加载执行,但它是个后门,隐蔽性第一,因此DLL无论如何不会现身,不存在弹出对话窗口或消息框,因此需要给它模拟一个测试环境。
“通过在本地架设DNS服务,劫持360.cn的域名解析,把我的机器伪装成360的服务器,然后那个注入浏览器的DLL不就由我自由控制了么?”独立调查员表示,通过编一个只要被加载执行就马上弹出消息框的DLL,拿自己写的DLL注入给360浏览器,这就让360浏览器的后门机制的运行完全可见了。
就这样,浏览器果然如预期的那样,把独立调查员在DLL里面写的消息框给弹出来了。
“被活捉啊!”从去年10月29日的公开信到11月5日的反向工程分析研究,前后仅为六天(仅利用业余时间)。
一个细微的细节是,独立调查员为了让更多的用户知道360暗藏后门的事实,还将其调查结果通过65分钟不间断的视频进行全网络直播。由于要保证视频内容真正做到65分钟不间断、不剪接,而实际上他花费了4个多小时一次次现实演示,直至实现一次性完成,才算真正完成这一取证工作。
独立调查员指出,可执行文件DLL绝非软件的自动更新(软件更新是持久性的),360安全浏览器自动更新仅在启动时执行一次,与此行为无关;而它也不是浏览器的一部分,下载、暂存、加载调用后将立即被删除,完成使命后,不留任何痕迹。
360后门:绑架用户的遥控器
独立调查员的这一发现发布后,立即在业内引起巨大震动。
以电子取证为主业的独立第三方IDF互联网情报威慑防御实验室立即跟进,对独立调查员的举报结论进行重复性认证,结论为:360安全浏览器v5.0.8.7的ExtSmartWiz.dll文件的属性、行为及反编译内容与独立调查员描述完全一致。
万涛表示,在当时的检测中,即使在关闭360安全中心可以关闭的功能,包括网址云安全、广告云拦截、第二代防假死、沙箱保护,在未进行任何浏览器操作情况下,仍然可以抓取到ExtSmartWiz.dll请求服务器文件及下载服务器文件记录,而这些并未包含在《360用户隐私保护白皮书》有关“360安全浏览器的隐私保护说明”中。
业内一位安全专家认为,360浏览器利用后门通过秘密手段,每5分钟操作一次程序性动作,究竟做了什么?现在不易获知,相信终有一天,360内部的程序员等知情人士会将此完整地披露给大众。但可以认定,360这一行为有不可告人的目的,最为正面的理解是:如果全国要抓贪腐,可能不再需要小三、二奶们自告奋勇地献身了,只要打开360浏览器,贪腐只要是上网的,基本上其丑行就可以通过360安全浏览器、360安全卫士这个后门机制暴露无遗了。
针对独立调查员的证据,360方面至今也无正面回应。
据独立调查员的最新消息,360安全浏览器5.0版的“后门”机制仍在运作,但360服务器已不再通过“后门”下发任何DLL,仅下发空文件(文件大小为0的文件)。
对360安全浏览器最新版(6.0.2.202)的网络通信监测表明,在未打开和浏览任何网站的情况下,浏览器仍然在与360云服务器密集通信,但与5.0版的情况明显不同。这里是否藏了什么新的秘密?
独立调查员对此已作了尝试调研,他告诉 《每日经济新闻》记者,“有关结果,在合适的时候会披露出来。”
“此中有一个不易注意的细节,”独立调查员告诉记者,“当时,360安全浏览器产品经理陶伟华在回应我的微博时,就把我指出的ExtSmartWiz.dll文件名篡改成SmartWizRes.dll,而现在其6.0版本恰恰就是现在的‘SmartWizRes.dll’,可见其早已有想通过偷梁换柱的方式掩盖其恶行。”
据多位安全专家表示,“后门”并非360独创,原来,其作用为“方便之门”。最著名的“后门”软件为灰鸽子(Hack.Huigezi)。其诞生于2001年,原本是一款优秀的远程控制软件,其后门机制作用为方便实施远程控制。但正是这“后门”机制,又使其成为集多种控制方法于一体的木马病毒。一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件等皆手到擒来。因此,自其诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发了安全领域的高度关注,同时成为全球公认的“毒王”。
360安全浏览器比“灰鸽子”更为危险的是,它的市场占有量很高。根据艾瑞咨询此前发布的数据显示,360最主要的产品360安全卫士的市场份额已经高达84.41%,同时360也拥有国内最大的浏览器和网址导航份额,所占市场份额大致为30%。这也意味着数亿量级360浏览器安装于用户的电脑中,如果有人破解360安全浏览器,从而控制这个后门的话,那将是灾难性事件,它导致一个国家的瘫痪都是完全可能的。因为360安全卫士、360安全浏览器早已进入了中国大多数用户的电脑。
万涛进一步指出,更为令人担忧的是,360的“后门”控制属于云端,至今仍秘而不宣。“凡安装360安全浏览器或360安全卫士的电脑,都已客观上成了360可以任意支配的‘肉鸡’。而360目前在许多领域中的不正当行为,都是基于其安全入口的裁判员机制而实施成功的。”
而来自金山的反病毒专家李铁军认为,360浏览器的后门机制,实际上已绑架了用户,成为360通过用户的浏览器来直接攻击竞争对手的工具,包括阻止或杀死竞争对手的各类客户端软件,阻止其中的重要程序,破坏竞争对手软件的功能等等。“这样的丑行只有中国才有,是世界上惟一的先例。”
