◇◇新语丝(www.xys.org)(xys7.dxiong.com)(xys.ebookdiy.com)(xys2.dropin.org)◇◇   再说奇虎360是在辟谣还是在撒谎   ·方舟子·   360安全浏览器产品总监陶伟华写了一篇《长微博:针对方舟子先生质疑的 技术答复》,里面充斥着IT术语,如果你不熟悉IT这一行,或没耐心看,就被绕 晕了,还觉得他说得很专业、很有道理。其实不过还是老调重弹。我们来看两个 关键的问题,一个是使用360软件登录微博、邮箱等发生与别人串号的问题,这 被怀疑是360采集用户电脑中包括cookie在内的隐私数据上传服务器所致;另一 个是360服务器每隔5分钟就向用户电脑发送一个不存盘的插件问题,这被怀疑 360服务器在远程操控客户端。   陶伟华声称登录串号是由于宽带服务商缓存出错所致的,与所用的浏览器无 关。如果这样的话,那么由于IE在国内的使用人数是最多的(几家机构发布的数 据表明IE在国内占有率在一半以上),用IE登录出现串号的报告应该最多才对, 为什么报告登录串号的几乎都是360浏览器用户?有个别IE、谷歌浏览器用户报 告登录串号,有可能是因为使用了360安全卫士。例如,@一马平川 前天反映他 使用谷歌浏览器时进入了别人的微博帐号,但他装了360安全卫士。   南京理工大学水瓶驱蚊花露水在新浪微博上报告用360浏览器报名考研出现 登录串号一事,是比较有说服力的,因为他当时做了对比实验,发现使用360浏 览器时虽然能正常登录,但一刷新就跳到别人的帐号,而且能进入两个人的帐号, 而改用别的浏览器则不会有问题。陶伟华的辩解主要针对这个人的报告,称在那 条微博评论里有两人反映用Opera和IE登录也出现相同问题。但这两人都是在我 提到水瓶这条微博(12日17:48)后半个小时内跑去那里发评论的,其中一个的 微博无实质内容(微博只是在不停地发考研倒计时,居然也有1000多粉丝),另 一个的微博此前一直在骂金山、百度,力挺360。这也能当证据?而且请注意, 水瓶是登录的时候正常,刷新页面时才会跳到别人帐号,而且是能跳入两个人的 帐号,用陶伟华提出的ISP缓存出错理论是根本无法解释的,因为按其理论,只 有在刚刚登录时才会串号,而且只跟同一网络已事先登录的另一个人串,怎么可 能出现水瓶这种情况?   360安全浏览器在今年5月28日发布的更新版本称“修复网易邮箱串号问题”, 这是怎么回事?这不是承认登录网易邮箱会发生串号吗?如果不是其浏览器的问 题如何修复?陶伟华辩称这是指的同一个人同时登录不同的网易邮箱发生的串号, 不是指不同的人登录邮箱发生的串号。但是有360用户明确反映他们在登录邮箱 时与别人串号。今年7月26日,丁泽宇在新浪微博上报告,他在使用360邮件通登 录QQ邮箱时,突然发现与别人的邮箱发生串号。 (http://weibo.com/1680371150/yucvBnDtN )当时360技术支持人员与他联系, 但到9月该问题仍没解决。如果这是宽带ISP缓存出错,也是暂时的现象,怎么可 能一直错两个月?就在9月13日,半黄绿柳在丁泽宇的微博下跟帖反映他也出现 类似的问题,而且更惨,与另三个人的邮箱发生串号,“如果你自己的设置了自 动登录,你的在别人那里就是可以自动登录的”,360技术人员和他联系也没能 解决问题。请问陶伟华,如果是宽带ISP缓存出错,怎么可能4个人同时发生串号?   针对360服务器每隔5分钟就向客户端发送一个插件datadll.dll一事,360的 “辟谣”声明称:“datedll.dll是360‘安全网银’数据组件,目的是防止用户 使用网银时上当受骗,尤其能防范百度搜索推广的虚假网银。据羊城晚报等媒体 近日报道(查看报道链接),用户使用百度搜索‘光大银行’,在搜索结果第一 位的假网银被骗4万元。事实上,绝大多数访问假网银的消费者都是点击百度搜 索结果被骗,为此360‘安全网银’组件需要判断用户是否是通过百度搜索访问 网银,如果是通过百度搜索访问,360‘安全网银’将启用高级别防护模式,为 用户提供最严格的安全措施。”   我查看了他们提供的《羊城晚报》报道,是今年10月11日登的,而@独立调 查员 拦截到的“安全网银”插件的时间戳则是10月8日,难道360未卜先知预测 到了《羊城晚报》会出这样一篇关于假网银网站的报道?360首席隐私官谭晓生 后来又提供了两则更早一点的关于用户通过百度搜索找网站受骗的新闻报道,但 一则是申请信用卡被骗,一则是买特价机票被骗。这和网银有什么关系?难道 360的“安全网银”插件能够防范所有的金融诈骗?   陶伟华称,用伪装的“安全网银”插件监视百度,目的是为了防范百度搜索 推广的虚假网银钓鱼网站,如果上的是从百度搜索到的网银网站就把保护提高到 最高级别,而为了防范最新出现的钓鱼网站,这个插件每5分钟就要从服务器更 新数据配置。这个解释非常荒唐。要判断一个网址是否冒充网银的最简单方法, 是像谷歌服务器那样去和真实网银网址列表对比,发现假冒就直接拦截,你去监 视百度搜索干什么?难道从百度搜索出来的网银全是假的?你既然监视的是用户 上百度,而不是直接监视用户上钓鱼网站,每5分钟更新一次插件干什么?难道 百度域名还会每5分钟变一次?银行网银插件都是下载后存在硬盘里的,为什么 这个“安全网银”插件不下载后存在用户硬盘中,而只是放在内存里,让普通用 户无法察觉?这岂不更像是一种间谍或木马软件?   根据@独立调查员 最新的监测,现在360服务器每5分钟向客户端发送的动态 插件的文件说明不再是“安全网银”,而是改称“smartwiz”,但原始文件名仍 然是datadll.dll,每5分钟发送一次,干完活就灭迹,用户无法察觉。那么这个 插件现在又是在干什么?   一直有人问我有什么证据表明360在采集用户隐私数据和遥控客户端,这就 是证据:登录串号是360采集用户隐私数据发生混乱的证据,而每隔5分钟悄悄发 送不存盘的插件,就是遥控客户端的证据,因为他们可以随意地发送插件,更改 插件功能,对客户端进行控制,而客户无法察觉。360对此的“辟谣”是没有说 服力的,只是试图用一堆IT术语混淆视听。   去年11月,奇虎360两名工程师发现一卡通系统漏洞“充值”2600余元并刷 卡消费分别获刑。当时360声称其技术部门研究一卡通系统时发现存在安全漏洞, 报告给有关部门,这两名工程师曾参与研究,几个月后没能抵制诱惑利用该漏洞 进行消费云。既然已经向有关部门报告有漏洞了,过了几个月居然还没堵上?你 信吗?我们现在可以从另一个角度来看这个案子了。有没有可能,这与360采集 来的隐私数据或发送的插件有关?   2012.10.17. (XYS20121019) ◇◇新语丝(www.xys.org)(xys7.dxiong.com)(xys.ebookdiy.com)(xys2.dropin.org)◇◇