處在輿論風(fēng)口浪尖的奇虎360近日連發(fā)文章駁斥外界對(duì)其旗下產(chǎn)品存在“竊取用戶(hù)隱私”的九大質(zhì)疑。

    質(zhì)疑1

    奇虎360安全衛(wèi)士7.3.0.2003l版本記錄和上傳軟件操作行為，會(huì)“泄露用戶(hù)信息”、“竊取用戶(hù)隱私”。

    回應(yīng)：云安全軟件判斷進(jìn)程安全性的過(guò)程中必然要與云端進(jìn)行交互。

    安全軟件都有“進(jìn)程防護(hù)”功能，也就是對(duì)即將運(yùn)行的程序的安全性進(jìn)行判斷。傳統(tǒng)安全軟件是比對(duì)本地的特征庫(kù)，而基于云的安全軟件需要把運(yùn)行程序的各種特征與云端的海量的特征進(jìn)行比對(duì)，進(jìn)而判斷其安全性。因此云安全軟件在判斷進(jìn)程的安全性過(guò)程中必然要與云端進(jìn)行交互。

    質(zhì)疑2

    360服務(wù)器上的“用戶(hù)隱私”數(shù)據(jù)被谷歌搜索爬蟲(chóng)抓取，包括瀏覽的網(wǎng)頁(yè)、下載過(guò)的應(yīng)用、搜索的關(guān)鍵字等。

    回應(yīng)：所謂“隱私數(shù)據(jù)”是360安全衛(wèi)士對(duì)可疑網(wǎng)址的查詢(xún)記錄，主流安全軟件均采用該機(jī)制。這些數(shù)據(jù)只是360安全衛(wèi)士對(duì)可疑網(wǎng)址的查詢(xún)記錄。事實(shí)上，這也是目前主流安全軟件的通行做法，包括諾頓、趨勢(shì)等莫不如此。之所以會(huì)在網(wǎng)址中出現(xiàn)用戶(hù)名和密碼，是由于極少數(shù)網(wǎng)站缺乏安全意識(shí)，把用戶(hù)口令編寫(xiě)在網(wǎng)址中。對(duì)于這類(lèi)存在安全缺陷的網(wǎng)站，360也采用了措施，過(guò)濾可能帶有用戶(hù)數(shù)據(jù)的網(wǎng)址。

    質(zhì)疑3

    360瀏覽器有“后門(mén)”，從服務(wù)器定期下載dll可執(zhí)行程序。

    回應(yīng)：被質(zhì)疑的dll文件，實(shí)際上只是配置文件，并不具有“遙控”作用。配置文件做成dll形式并添加數(shù)字簽名校驗(yàn)是安全軟件的常規(guī)做法，可以保證程序在加載配置文件時(shí)，確認(rèn)文件沒(méi)有被木馬篡改過(guò)。這種做法還可避免下載文件時(shí)被中間人攻擊。比如黑客通過(guò)ARP攻擊劫持下載過(guò)程，返回由黑客構(gòu)造的惡意配置文件。

    質(zhì)疑4

    Windows7在開(kāi)啟自動(dòng)更新、尚未安裝任何第三方軟件前，360安全衛(wèi)士對(duì)其安全評(píng)估結(jié)果竟是0分。

    回應(yīng)：該指責(zé)子虛烏有，任何用戶(hù)都可以自行驗(yàn)證。

    質(zhì)疑5

    360安全瀏覽器“浸潤(rùn)”網(wǎng)銀安全，屏蔽權(quán)威認(rèn)證機(jī)構(gòu)VeriSign，換為自己的認(rèn)證機(jī)制。

    回應(yīng)：360瀏覽器并未屏蔽VeriSign認(rèn)證，用戶(hù)可自行驗(yàn)證。

    由于很多網(wǎng)站都沒(méi)有購(gòu)買(mǎi)證書(shū)，所以360又推出了“網(wǎng)站名片”功能，參考國(guó)家的ICP備案信息庫(kù)和其他認(rèn)證機(jī)構(gòu)數(shù)據(jù)，幫助用戶(hù)識(shí)別釣魚(yú)網(wǎng)站。而對(duì)于已知的惡意網(wǎng)站，360安全瀏覽器會(huì)根據(jù)網(wǎng)址云安全技術(shù)進(jìn)行攔截。

    質(zhì)疑6

    使用360手機(jī)衛(wèi)士及360手機(jī)通訊錄進(jìn)行云備份或云恢復(fù)時(shí)，用戶(hù)數(shù)據(jù)通過(guò)請(qǐng)求網(wǎng)址明文傳輸，可以從服務(wù)器的非安全通道直接下載。

    回應(yīng)：不存在明文傳輸，這些數(shù)據(jù)采用高強(qiáng)度的工業(yè)級(jí)加密算法進(jìn)行保護(hù)。360手機(jī)衛(wèi)士和360通訊錄，只有在用戶(hù)主動(dòng)使用360云備份功能時(shí)，才會(huì)將用戶(hù)所選擇的通訊錄、短信、通話(huà)記錄等數(shù)據(jù)進(jìn)行加密后上傳。這些數(shù)據(jù)在網(wǎng)絡(luò)傳輸和服務(wù)器存儲(chǔ)的全過(guò)程中，都采用了高強(qiáng)度的工業(yè)級(jí)加密算法進(jìn)行保護(hù)。即便用戶(hù)手機(jī)連接到黑客的釣魚(yú)WiFi，這些數(shù)據(jù)也難以被解密泄露。

    質(zhì)疑7

    360旗下iOS平臺(tái)多款應(yīng)用遭蘋(píng)果應(yīng)用商店下架是因?yàn)椤案`取隱私”。

    回應(yīng)：下架是由于360手機(jī)衛(wèi)士企業(yè)版測(cè)試時(shí)違反了蘋(píng)果開(kāi)發(fā)者規(guī)則，與用戶(hù)隱私無(wú)關(guān)。360手機(jī)衛(wèi)士企業(yè)版嘗試為中國(guó)境內(nèi)企業(yè)用戶(hù)提供“騷擾電話(huà)攔截”等功能。防騷擾也同樣是廣大中國(guó)蘋(píng)果手機(jī)用戶(hù)的強(qiáng)烈需求。但由于蘋(píng)果IOS平臺(tái)不提供相應(yīng)的公開(kāi)接口，360嘗試調(diào)用相關(guān)蘋(píng)果私有接口以實(shí)現(xiàn)騷擾攔截功能時(shí)，無(wú)意中觸犯了蘋(píng)果公司的內(nèi)部規(guī)則。360公司至今仍在努力溝通中。截至目前，下架事件并未影響現(xiàn)有360蘋(píng)果用戶(hù)正常使用360產(chǎn)品。

    質(zhì)疑8

    360“利用V3升級(jí)偷偷卸載競(jìng)爭(zhēng)對(duì)手產(chǎn)品，安裝推廣軟件”。

    回應(yīng)：V3是360安全衛(wèi)士升級(jí)程序版本號(hào)，絕不會(huì)偷偷卸載競(jìng)爭(zhēng)對(duì)手產(chǎn)品和安裝推廣軟件?；ヂ?lián)網(wǎng)軟件都帶有升級(jí)功能。特別為了有效對(duì)抗快速變化的木馬和0day漏洞，要求安全軟件必須能夠快速升級(jí)響應(yīng)，國(guó)內(nèi)外主流安全軟件全都如此，比如Norton殺毒軟件的升級(jí)機(jī)制命名為“LiveUpdate”。

    “V3”就是升級(jí)程序的版本號(hào)，代表的是第三個(gè)主要版本，其作用是把木馬防御規(guī)則、補(bǔ)丁更新等安全特性快速升級(jí)。同時(shí)，用戶(hù)也可以在360安全衛(wèi)士的設(shè)置界面中，選擇是否開(kāi)啟自動(dòng)升級(jí)。

    質(zhì)疑9

    瑞星發(fā)現(xiàn)360有“后門(mén)”、首次揭露“不安全”。

    回應(yīng):瑞星侵犯360商譽(yù)已被法院判處敗訴。經(jīng)過(guò)中國(guó)信息安全測(cè)評(píng)中心檢測(cè)，360安全軟件并不存在“后門(mén)”程序。根據(jù)北京市西城區(qū)法院判決，瑞星從事了侵犯奇虎360商業(yè)信譽(yù)、商品聲譽(yù)的不正當(dāng)競(jìng)爭(zhēng)行為，其行為構(gòu)成不正當(dāng)競(jìng)爭(zhēng)，應(yīng)當(dāng)承擔(dān)相應(yīng)的侵權(quán)責(zé)任。