◇◇新语丝(www.xys.org)(xys7.dxiong.com)(xys.ebookdiy.com)(xys2.dropin.org)◇◇   奇虎360是在辟谣还是撒谎?   ·方舟子·   现在360浏览器的用户如果要卸载360浏览器,会出来一条告示称:“近期 360安全浏览器遭到蓄意抹黑,如果您对网络谣言持有疑虑请点击谣言暴晒场了 解真相。”其中所谓“谣言暴晒场”是奇虎360公司建的一个网页 (http://news.diandi.com/lie.html ),声称一一反驳我散布的有关360浏览 器的“谣言”。虽然里面仍然在造谣说我“收钱为百度假打360”,但比起以前 只会人身攻击和造谣,愿意具体面对质疑,毕竟还是进步了。那么奇虎360的所 谓“辟谣”,是在讲真相还是继续撒谎?   360列举的这些所谓“谣言”,最搞笑的一条是“方舟子:360浏览器用户遭 遇盗号”。我昨天列举了多名新浪微博用户在微博上反映自己用360浏览器登录 新浪微博和其他服务时进入了别人的帐号(所谓“登录串号”),其中有一条是 认证用户、上海某广告公司创意总监“Gina坦克然”向京东刘强东反映有人进了 她的京东帐号:“刘总:360搞什么,数据安全可以去见鬼了……”我以为她是 在向刘强东反映用360浏览器登录京东帐号出现的问题。一个小时后,此人发微 博称她说的360指的是京东,我立即发微博道歉,宣布这一条证据无效。这本是 此人很不寻常地把京东简称为360引起的无关紧要的小误会,我已立即做了澄清, 而周鸿祎却不仅连发微博造谣说我分不清360和京东,昨天晚上还出动了一大批 由小公司的创意总监、公关总监等组成加V新浪微博用户,同一时间发布内容一 模一样的微博,混淆视听称“方舟子承认打假360有误 公开道歉”,今天又在一 些媒体网站登软文宣布“方舟子将起诉360 证据有误出尽洋相”,好像我出了一 个马上更正的小差错,360就大获全胜了,我出示的其他众多证据都被无视掉了。 对我早已澄清、道歉的一条误会,360至今还把它当成“谣言”大肆辟谣,作为 攻击我的主要依据,你们还要脸吗?   有很多360浏览器用户都在微博上反映他们使用360浏览器登录新浪微博等网 上服务时进入了别人的帐号,而其他浏览器的用户则没有遇到这种现象。我一一 查看了这些用户发的其他微博,可以确认他们不是马甲或被雇佣的水军,当时 360的客服和新浪微博的客服都和他们联系过解决问题,新浪微博客服甚至建议 他们改用火狐浏览器。例如南京富士康软件公司员工“水瓶驱蚊花露水”用360 浏览器报名研究生,一刷新变成了别人的账号,并且可以修改报名信息;换用IE 和谷歌浏览器则没有问题,只有用360浏览器可以跳到别人的帐号里面,而且至 少可以跳到两个人的帐号。360称这种登录串号现象和使用360浏览器无关,是宽 带服务商服务器缓存造成的,那么怎么解释刷新了还会串号而且是能进入两个人 的帐号?为何用IE和谷歌浏览器就不会串号?360称“关于‘登录别人微博账号’ 的现象,网上早有大量媒体披露报道,链接如下:http://t.cn/zlj2ixF”,搞 笑的是,他们提供的链接是百度搜索“登录别人微博账号”的结果,我查看了前 十页结果,除了有指控360浏览器导致串号的,都没有关于这个现象的报道。有 独立IT人士推测,用360浏览器之所以会出现登录串号现象,很可能是因为360软 件从用户电脑抓取含有密码等信息的cookie存到其服务器造成的,如果那样的话, 就是在侵犯用户的上网隐私和安全。   针对360软件窃取用户电脑里的隐私资料上传到其服务器一事,360声称是竞 争对手炮制的谎言。其实有关这方面的指控和证据非常多,并非都是来自其竞争 对手:   有的是来自360的前高管、前员工。360创始人之一、金山网络CEO傅盛在接 受视频采访时透露:“360偷窃隐私这件事是百分之百存在的,很多人的文档会 被看到,个人上网的痕迹会被看到,一个官员上午在写材料,下午上某些很有生 活情趣的网站……”(http://v.youku.com/v_show/id_XMzIwOTE2MTYw.html ) 近日奇虎360声称法院判定金山网络CEO傅盛的微博言论对奇虎360造成侵权,要 求其赔偿并道歉。但根据奇虎360发布的文稿,傅盛被判侵权是因为在新浪等微 博平台发布了奇虎“颇有黑社会风范”、“360是互联网史上最大谎言”等言论, “法院方面称,‘360’产品已成为奇虎科技有限公司的企业标志之一,傅盛的 微博内容言辞已经超出了公民言论自由权和批评监督权的范畴,因而败诉。”这 属于评价用语问题,而不是对傅盛所谈及的事实的否定。   有的是来自360的竞争对手。据腾讯前拍拍网技术总监魏华武向其朋友、前 部下透露,引发3Q大战的原因是腾讯发现“360就是木马病毒,直接窃走QQ好友 关系,这是腾讯的最重要的资产。”(吴慕湾的丫头发的搜狐微博)   有的来自身份不明的IT人士。例如“网络反黑组”发布了两段视频证据: 360浏览器上传用户隐私实录 http://v.qq.com/boke/page/z/k/c/z0106gv0tkc.html ,360手机卫士后台强制 下载安全通讯录实录http://v.qq.com/boke/page/w/d/a/w0101rdq8da.html 。 “网络反黑组”不知何许人,以前曾经骂过我,不可能是我或我的支持者的马甲。   有的来自学界人士。例如中国人民大学教授、博士生导师、计算机系主任、 司法鉴定人石文昌以窃取用户隐私、绑架用户、欺骗用户为由在微博上建议电脑 用户卸载360杀毒软件和浏览器。   有的来自其他人士。例如国产汽车之家网站长吴飞发现,他在谷歌站长工具 登录才能查看的自己网站的隐私信息,当他使用360浏览器以后,这些资料居然 在360搜索可以查到。   有的来自独立的程序员、软件工程师。特别是这几天,一些程序员、软件工 程师都在分析360软件,都发现360涉嫌上传客户隐私数据。这些人的身份明确, 并非360的竞争对手。例如,南京理工大学Royflying抓包时发现360安全卫士频 繁上传大量的信息到服务器,经过分析后发现它会将大量用户使用其他软件的信 息上传到服务器,用户无法知道上传信息的详情,即使取消‘加入云安全计划’, 仍然不能阻止这些信息的上传。这些信息将会暴露用户的生活习惯、作息时间、 以及比较私密的软件操作。(《一把菜刀:360搜集隐私程序员级分析》 http://weiba.weibo.com/10049/t/z06T3lv2P )。   软件工程师“独立调查员”发现,360安全浏览器每隔5分钟就会下载一个伪 装成“安全网银”的组件datadll.dll,该文件下载后并不存入磁盘,是动态指 令或指令参数信息,由360公司服务器控制、360浏览器解释执行,全自动、无提 示、不留痕,完全把用户当稻草人,这意味着360随时可以向运行中的360安全浏 览器发出新的指令或参数,想干什么就干什么,把用户的电脑变成肉鸡。 (http://t.sohu.com/m/5426708865 )我转了独立调查员的这个发现后,360公 司辩称那是真的“安全网银”数据组件,但是连夜悄悄地做了改动,先是把该文 件改为空文件,然后停止了该文件的下载。怎么360公司又突然不保证用户的网 银安全了呢?这也证明了360公司的确能随意远程操控客户端,想放什么文件就 放什么文件,想停就停,这是不是很恐怖?也许以后360公司会放一个真正的 “安全网银”组件到客户端以便圆谎,但360的积极支持者coolbear2012已确认 目前360客户端本地硬盘不存在这个插件。   针对把360浏览器伪装成微软补丁误导用户安装360浏览器一事,360公司声 称是在修复微软漏洞,会“提示用户‘三选一’安装:1、直接升级到IE8;2、 升级IE8,并安装保留IE6使用习惯的360SE;3、安装自带IE8内核360浏览器,保 留IE6,安装过程有明确提示,充分给用户知情权和选择权。”而实际上根据东 莞市创瑞工业试验设备有限公司财务部财务总监胡志向记录的“360给微软系统 打补丁”的过程,360公司不是真的在修复微软漏洞,而是以此为由误导用户安 装360浏览器,所谓的“三选一”不管选哪个,最后的结果都是安装360浏览器。 很多用户反映,他们就是在以为给微软系统“打补丁”时莫名其妙地被装上了 360浏览器。   不仅安装360浏览器是偷偷摸摸的,要卸载也是不那么痛快的。现在想要下 载它,会出来警示劝阻不要下载,不正说明360公司可以远程操控客户端,肆意 发送信息、数据吗? 2012.10.13 (XYS20121014) ◇◇新语丝(www.xys.org)(xys7.dxiong.com)(xys.ebookdiy.com)(xys2.dropin.org)◇◇