正确的提示信息
扫码打开虎嗅APP
从思考到创造
打开APP
资讯
视频
前沿科技
车与出行
商业消费
社会文化
金融财经
出海
国际热点
游戏娱乐
健康
书影音
医疗
3C数码
观点
其他
虎嗅视界
24小时
专题活动
妙投APP
虎嗅智库
登录
极速注册
取消
搜索历史
删除
完成
全部删除
数码
互联网
数码
互联网
热搜词
降息
美联储
快递
电商
人口
安全
爆炸
货币
年轻人
账号或密码错误
2013-02-26 10:50
深度调查:危险的“360安全卫士”!“破坏性创新”其实是“创新型破坏”?!
虎嗅
经过数月调查,
《每日经济报道》
提出命题说,360的成功
不在于“破坏性创新”,而在于“创新型破坏”
:通过破坏,打破既有规则,从中获得市场与利益。而这一破坏的基础,便是对互联网世界最基本的准则——最小特权原则的践踏。
360发家于 “360安全卫士”、“360安全浏览器”,而这两款产品甫一面世,便携带了这家公司的癌性基因:以违反“最小特权原则”为基石而构建。《每日经济报道》说,在“安全卫士”、“安全浏览器”软件中,360会植入非法程序,并通过该非法程序中的“后门机制”与360云端配合,形成全球独一无二的秘密内部机制。而当360要发动一场讨伐竞品的战争时,其便启动“V3机制”——通过“安全卫士”、“安全浏览器”,在用户电脑中私自卸载竞争对手的产品,私自安装自己要推广的产品,从而以最便捷的方式一举占领市场,这就是360常胜不衰的真正秘诀。
这不仅对行业有巨大的破坏性,对互联网秩序产生严重的破坏力,更是对整个社会产生“癌性浸润”
,让原本的市场竞争转向了底层控制力的交战。于是,百度即将砸重金投向安全领域,最快将于今年上半年正式推出,这与经历“3Q大战”的腾讯进驻安全领域如出一辙。
这样带来的直接后果就是,未来中国互联网将变成一个腾讯、百度、阿里、360“四国顶立”的擎天柱式体系。
最小特权原则
所谓最小特权(Least Privilege),指的是“在完成某种操作时所赋予网络中每个主体(用户或进程)必不可少的特权”;最小特权原则,则是指“应限定网络中每个主体所必须的最小特权,确保可能的事故、错误、网络部件的篡改等原因造成的损失最小”。
这一特权最通俗的说法就是:你不要代替用户行使权力,你的特权越小越少越好。这样,才是对用户最大的保护。能不作为处,不作为。
“而奇虎360的‘基因变异’正体现在此处,表现为 ‘奇虎360原则’——以安全的名义,在用户知情或不知情的情况下,直接代表网民行使权益。”《每日经济新闻》采访的独立调查员说。
在深圳红树林,独立调查员为《每日经济新闻》记者进行了现场演示。他特意在自己的电脑上安装了360安全浏览器,并打开网络通信监视工具,这时可以看到,360安全浏览器在其电脑后台上就像一只工蜂,始终不停地忙碌着。然后,独立调查员又打开IE、腾讯、猎豹、chrome等浏览器,每一个浏览器都很安静,没有任何动作。
“明明知道360在做不应该发生的事情,但不知道发生的是什么事情。这就是360留给中国所有安全专业人员最大的课题。”独立调查员说。
360的危险逻辑
从这个图中可以看出,360安全卫士对用户在电脑上进行软件操作、文档操作等所有操作举动均秘密进行监视、记录,然后进行压缩后上传至云端服务器;过去,上传的过程为明文上传,这对用户的隐私带来非常严重的威胁,在经历过几次大的泄密事件后,目前上传文件已经加密。
文件上传到360云端存储后,文件会立即在本地被删除,这招防御术非常凶狠,即使有人破解其行为,并获得文件证据,但因为随时的删除,很难将证据做实,变成死无对证的孤证。
用户电脑中的360安全卫士这一套运行机制都是事先预设好的,可以独立操作完成;但实际上,360云端(360安全数据中心)对用户客户端的360安全卫士具备直接控制能力。360云端不仅可以下达专门的指令(后文还将详述),同时一旦360安全卫士发现有人在监视其通信操作等,会发出安全警告以阻止继续操作并限时自行禁止。这也给破获工作带来相当程度的干扰。
商业模式之裁判员+运动员
作为互联网安全厂商,最重要的特性,就是恪守“第三方安全”准则:不得随意代替用户作决定或处理;不得以安全的名义,为厂商自己牟利;不得在安全领域,既当运动员,又是裁判员。
但360恰恰就在这些方面,完全违背了安全厂商的基本准则。当360安全卫士、360安全浏览器植入用户电脑的时候,360便通过它们在用户知情或不知情的情况下,直接代替用户做决定,完成各种动作。
这是360致胜的法宝。
比如,“电脑安全性评分”是360安全卫士最重要的基础性功能。360安全卫士会自动扫描客户端所在系统的“安全隐患”,不符合360“安全标准”要求的就扣分,但评分标准和权重并不公开。
全新安装的Windows7,在开启自动更新、尚未安装任何第三方软件前,360安全卫士对其安全评估结果竟是0分 (满分100分)。,直到
“安装360浏览器并设定为默认浏览器”、“修改首页为360导航”
后,安全性评分才接近满分100。
独立调查员向 《每日经济新闻》记者分析说,360的发展路径,即从360软件产品底层技术构架开始,埋下不同于所有互联网公司发展的“癌变基因”,然后,此“癌变基因”通过浸润,向操作环境领域发展,再向工具软件、游戏平台发展,最终进入真正的互联网领域——导航、搜索、电商网站,以及电商网银体系等。
商业模式之V3升级机制
任何一个公司的软件在下载时,都必须基于用户的意愿。即使是微软的Windows软件,其升级或上线时,也是在微软公司的提示下,用户同意后,方可升级或上线。
在这方面,用户具有知情权、同意权。任何剥夺或变相剥夺用户这两个权利的下载,都是违法的。对一些特别清晰而简单的下载或升级或优化,也可以通过“一键优化”或“一键修复”等来实施。
但360多年来并非依此执行。一方面,360通过“一键优化”或“一键修复”,绕过用户的一步步审核,要么将竞争对手的软件给优化掉,要么就是在下载中夹带“私货”,将其最想推广的软件悄悄直接代替用户下载了。
另一方面,360甚至不需要用户的“一键优化”等,在暗中直接给用户的电脑(或手机)下载其推广的软件。这也就是业内人最为痛恨的“静默安装”,“静默升级”等。这就是360内部的
“V3升级机制”。
据《每日经济新闻》记者调查,一键优化,是通过360安全卫士,即通过客户端执行;“静默安装”,则是直接通过云服务器发布指令执行的。而“V3升级”即是360产品线最重要的捆绑安装渠道,最
主要的推广“母体”是360安全卫士与360浏览器。
在360,除产品、技术之外的员工,对V3机制知之甚少。即使是核心员工,也并非知道其中的全部路径。而要申请使用这一通道,更是需要非常复杂的申请手续,甚至据称,最终的拍板决定权,也仅在周鸿祎一人手中。即使在总裁齐向东已批准同意的情况下,最终仍需经过周鸿祎的批准。
哎。360。你怎么说?
全文见此
。
如对本稿件有异议或投诉,请联系tougao@huxiu.com
打开虎嗅APP,查看全文
频道:
3C数码
支持一下
赞赏
0人已赞赏
分享至:
1
大 家 都 在 看
拆解百度与360搜索的攻守局
郭昂
08:40
#苹果又来了
“壁垒森严”的苹果能保护隐私安全吗?
馒头De爸爸
透视3B二战:百度为什么效仿腾讯,推出“艰难的决定”封杀360浏览器?
mktreview
360与百度隔空再交战,百度解释“我们为什么要升级客户内部管理系统的安全”
虎嗅
3B近期战况:奇虎360已处于下风
葛甲
张朝阳说:我们跟360争的不是搜索,是浏览器!
虎嗅
搜索打起乒乓球:360攻击有条不紊,百度防御难上加难
罗超频道
360回应《每经》:“安全卫士不安全”的报道是抹黑,我们要起诉
虎嗅
什么是质疑的逻辑?!
阑夕
实录:周鸿祎就《每日经济新闻》报道回应若干疑点
虎嗅
独立调查员叫板360:这样上传数据是间谍不是卫士
阳淼.
06:48
#AI有多智能
隐私保护的终点是自发上传“果照”?
ECO新势
02:40
#大公司情报站
全国都在用的下电影神器,这次彻底凉了吗?
雷科技
14:30
令人绝望的是,就连黑客也无法阻止隐私数据被记录和传输
造就Talk
08:17
你的隐私,是怎么被手机扒光的
张博文
07:13
互联网垄断来袭,谁来守住用户的隐私底线?
动动枪DongDongGun
15:22
#Web3.0完全手册
当互联网变成一座牢笼,该如何去谈自由?
纳斯赛博伯
08:42
#想通了吗
“偷听”太简单,隐私早完蛋
想通了吗
15:58
#Web3.0完全手册
Web3.0是什么?能给我们带来什么改变?
纳斯赛博伯
07:05
#老司机侃车
即使赔破产,也不交赎金,蔚来做对了吗?
花狸胡说
大 家 都 在 搜
降息
美联储
快递
电商
人口
安全
爆炸
货币
年轻人
APP内打开
好的内容,值得赞赏
您的赞赏金额会直接进入作者的虎嗅账号
自定义
支付:
元
匿名赞赏
支付