正确的提示信息
扫码打开虎嗅APP
从思考到创造
打开APP
资讯
视频
前沿科技
车与出行
商业消费
社会文化
金融财经
出海
国际热点
游戏娱乐
健康
书影音
医疗
3C数码
观点
其他
虎嗅视界
24小时
专题/活动
虎嗅智库
登录
极速注册
取消
搜索历史
删除
完成
全部删除
数码
互联网
数码
互联网
热搜词
全国集采
医保
运动品牌
消费品牌
精神生活
性功能障碍
二线城市
俄乌冲突
iPhone
账号或密码错误
2013-02-26 10:50
深度调查:危险的“360安全卫士”!“破坏性创新”其实是“创新型破坏”?!
虎嗅
经过数月调查,
《每日经济报道》
提出命题说,360的成功
不在于“破坏性创新”,而在于“创新型破坏”
:通过破坏,打破既有规则,从中获得市场与利益。而这一破坏的基础,便是对互联网世界最基本的准则——最小特权原则的践踏。
360发家于 “360安全卫士”、“360安全浏览器”,而这两款产品甫一面世,便携带了这家公司的癌性基因:以违反“最小特权原则”为基石而构建。《每日经济报道》说,在“安全卫士”、“安全浏览器”软件中,360会植入非法程序,并通过该非法程序中的“后门机制”与360云端配合,形成全球独一无二的秘密内部机制。而当360要发动一场讨伐竞品的战争时,其便启动“V3机制”——通过“安全卫士”、“安全浏览器”,在用户电脑中私自卸载竞争对手的产品,私自安装自己要推广的产品,从而以最便捷的方式一举占领市场,这就是360常胜不衰的真正秘诀。
这不仅对行业有巨大的破坏性,对互联网秩序产生严重的破坏力,更是对整个社会产生“癌性浸润”
,让原本的市场竞争转向了底层控制力的交战。于是,百度即将砸重金投向安全领域,最快将于今年上半年正式推出,这与经历“3Q大战”的腾讯进驻安全领域如出一辙。
这样带来的直接后果就是,未来中国互联网将变成一个腾讯、百度、阿里、360“四国顶立”的擎天柱式体系。
最小特权原则
所谓最小特权(Least Privilege),指的是“在完成某种操作时所赋予网络中每个主体(用户或进程)必不可少的特权”;最小特权原则,则是指“应限定网络中每个主体所必须的最小特权,确保可能的事故、错误、网络部件的篡改等原因造成的损失最小”。
这一特权最通俗的说法就是:你不要代替用户行使权力,你的特权越小越少越好。这样,才是对用户最大的保护。能不作为处,不作为。
“而奇虎360的‘基因变异’正体现在此处,表现为 ‘奇虎360原则’——以安全的名义,在用户知情或不知情的情况下,直接代表网民行使权益。”《每日经济新闻》采访的独立调查员说。
在深圳红树林,独立调查员为《每日经济新闻》记者进行了现场演示。他特意在自己的电脑上安装了360安全浏览器,并打开网络通信监视工具,这时可以看到,360安全浏览器在其电脑后台上就像一只工蜂,始终不停地忙碌着。然后,独立调查员又打开IE、腾讯、猎豹、chrome等浏览器,每一个浏览器都很安静,没有任何动作。
“明明知道360在做不应该发生的事情,但不知道发生的是什么事情。这就是360留给中国所有安全专业人员最大的课题。”独立调查员说。
360的危险逻辑
从这个图中可以看出,360安全卫士对用户在电脑上进行软件操作、文档操作等所有操作举动均秘密进行监视、记录,然后进行压缩后上传至云端服务器;过去,上传的过程为明文上传,这对用户的隐私带来非常严重的威胁,在经历过几次大的泄密事件后,目前上传文件已经加密。
文件上传到360云端存储后,文件会立即在本地被删除,这招防御术非常凶狠,即使有人破解其行为,并获得文件证据,但因为随时的删除,很难将证据做实,变成死无对证的孤证。
用户电脑中的360安全卫士这一套运行机制都是事先预设好的,可以独立操作完成;但实际上,360云端(360安全数据中心)对用户客户端的360安全卫士具备直接控制能力。360云端不仅可以下达专门的指令(后文还将详述),同时一旦360安全卫士发现有人在监视其通信操作等,会发出安全警告以阻止继续操作并限时自行禁止。这也给破获工作带来相当程度的干扰。
商业模式之裁判员+运动员
作为互联网安全厂商,最重要的特性,就是恪守“第三方安全”准则:不得随意代替用户作决定或处理;不得以安全的名义,为厂商自己牟利;不得在安全领域,既当运动员,又是裁判员。
但360恰恰就在这些方面,完全违背了安全厂商的基本准则。当360安全卫士、360安全浏览器植入用户电脑的时候,360便通过它们在用户知情或不知情的情况下,直接代替用户做决定,完成各种动作。
这是360致胜的法宝。
比如,“电脑安全性评分”是360安全卫士最重要的基础性功能。360安全卫士会自动扫描客户端所在系统的“安全隐患”,不符合360“安全标准”要求的就扣分,但评分标准和权重并不公开。
全新安装的Windows7,在开启自动更新、尚未安装任何第三方软件前,360安全卫士对其安全评估结果竟是0分 (满分100分)。,直到
“安装360浏览器并设定为默认浏览器”、“修改首页为360导航”
后,安全性评分才接近满分100。
独立调查员向 《每日经济新闻》记者分析说,360的发展路径,即从360软件产品底层技术构架开始,埋下不同于所有互联网公司发展的“癌变基因”,然后,此“癌变基因”通过浸润,向操作环境领域发展,再向工具软件、游戏平台发展,最终进入真正的互联网领域——导航、搜索、电商网站,以及电商网银体系等。
商业模式之V3升级机制
任何一个公司的软件在下载时,都必须基于用户的意愿。即使是微软的Windows软件,其升级或上线时,也是在微软公司的提示下,用户同意后,方可升级或上线。
在这方面,用户具有知情权、同意权。任何剥夺或变相剥夺用户这两个权利的下载,都是违法的。对一些特别清晰而简单的下载或升级或优化,也可以通过“一键优化”或“一键修复”等来实施。
但360多年来并非依此执行。一方面,360通过“一键优化”或“一键修复”,绕过用户的一步步审核,要么将竞争对手的软件给优化掉,要么就是在下载中夹带“私货”,将其最想推广的软件悄悄直接代替用户下载了。
另一方面,360甚至不需要用户的“一键优化”等,在暗中直接给用户的电脑(或手机)下载其推广的软件。这也就是业内人最为痛恨的“静默安装”,“静默升级”等。这就是360内部的
“V3升级机制”。
据《每日经济新闻》记者调查,一键优化,是通过360安全卫士,即通过客户端执行;“静默安装”,则是直接通过云服务器发布指令执行的。而“V3升级”即是360产品线最重要的捆绑安装渠道,最
主要的推广“母体”是360安全卫士与360浏览器。
在360,除产品、技术之外的员工,对V3机制知之甚少。即使是核心员工,也并非知道其中的全部路径。而要申请使用这一通道,更是需要非常复杂的申请手续,甚至据称,最终的拍板决定权,也仅在周鸿祎一人手中。即使在总裁齐向东已批准同意的情况下,最终仍需经过周鸿祎的批准。
哎。360。你怎么说?
全文见此
。
如对本稿件有异议或投诉,请联系tougao@huxiu.com
打开虎嗅APP,查看全文
频道:
3C数码
支持一下
赞赏
0人已赞赏
分享至:
1
大 家 都 在 看
拆解百度与360搜索的攻守局
郭昂
08:40
#苹果又来了
“壁垒森严”的苹果能保护隐私安全吗?
馒头De爸爸
透视3B二战:百度为什么效仿腾讯,推出“艰难的决定”封杀360浏览器?
mktreview
360与百度隔空再交战,百度解释“我们为什么要升级客户内部管理系统的安全”
虎嗅
3B近期战况:奇虎360已处于下风
葛甲
张朝阳说:我们跟360争的不是搜索,是浏览器!
虎嗅
搜索打起乒乓球:360攻击有条不紊,百度防御难上加难
罗超频道
360回应《每经》:“安全卫士不安全”的报道是抹黑,我们要起诉
虎嗅
什么是质疑的逻辑?!
阑夕
实录:周鸿祎就《每日经济新闻》报道回应若干疑点
虎嗅
独立调查员叫板360:这样上传数据是间谍不是卫士
阳淼.
06:48
#AI有多智能
隐私保护的终点是自发上传“果照”?
ECO新势
02:40
#大公司情报站
全国都在用的下电影神器,这次彻底凉了吗?
雷科技
14:30
令人绝望的是,就连黑客也无法阻止隐私数据被记录和传输
造就Talk
08:17
你的隐私,是怎么被手机扒光的
张博文
07:13
互联网垄断来袭,谁来守住用户的隐私底线?
动动枪DongDongGun
15:22
#Web3.0完全手册
当互联网变成一座牢笼,该如何去谈自由?
纳斯赛博伯
08:42
#想通了吗
“偷听”太简单,隐私早完蛋
想通了吗
15:58
#Web3.0完全手册
Web3.0是什么?能给我们带来什么改变?
纳斯赛博伯
07:05
#老司机侃车
即使赔破产,也不交赎金,蔚来做对了吗?
花狸胡说
大 家 都 在 搜
全国集采
医保
运动品牌
消费品牌
精神生活
性功能障碍
二线城市
俄乌冲突
iPhone
APP内打开
好的内容,值得赞赏
您的赞赏金额会直接进入作者的虎嗅账号
自定义
支付:
元
匿名赞赏
支付